ProTrack

Luka w aplikacjach iTrack i ProTrack pozwalała hakerowi wyłączyć silnik auta

Fot. Pixabay
Haker o pseudonimie L&M przejął dane z kont 27 tysięcy użytkowników. To aplikacje służące do śledzenia samochodów w oparciu o geolokalizację. Włamywacz miał dostęp do położenia aut z całego świata, w niektórych przypadkach mógł nawet zdalnie wyłączyć silnik. ProTrack naprawił już błąd w swoim oprogramowaniu, iTrack - nie.

O sprawie napisał serwis Motherboard, który rozmawiał z hakerem. L&M wykorzystał tutaj przypadłość, z którą boryka się wiele aplikacji i usług, czyli domyślne hasło. Androidowe ProTrack i iTrack dawały użytkownikom podczas rejestracji takie samo hasło: 123456. Ponieważ użytkownicy często nie zmieniają go, hakerowi pozostawało jedynie odgadnięcie loginów. Ustalił je przy użyciu ataku brute force. L&M zebrał sporo informacji od klientów oprogramowania, np. modele i nazwy urządzeń GPS zainstalowanych w samochodach, ich numery IMEI, nazwy użytkowników, nazwiska, numery telefonów i realne adresy. Nie zawsze zdobywał cały zestaw danych, czasem była to część wymienionych informacji.

haker
Zrzuty ekranu z aplikacji, do których dostęp miał haker L&M (graf. Motherboard)

Okazuje się, że stosunkowo prostą metodą cyberwłamywacz był w stanie monitorować ruch podpiętych do aplikacji samochodów z całego świata. Miał nawet możliwość zdalnego przerwania pracy silnika, ale jedynie w tych przypadkach, kiedy podobna funkcja została wcześniej aktywowana. Podczas instalowania modułu GPS technik może udostępnić klientowi taką opcję, wyłączenie silnika jest możliwe tylko przy prędkości mniejszej niż 20 km/h. L&M twierdzi, że nie odważył się zatrzymać żadnego samochodu z obawy o życie ludzi. Jednak, jak przestrzega, w niepowołanych rękach takie narzędzie może wyrządzić poważne szkody. Haker skontaktował się z twórcami obydwu aplikacji. Zasugerowali oni swoim klientom, by zmienili domyślne hasło w usłudze. ProTrack wprowadził też zmianę, która nie pozwala już na używanie hasła 123456. iTrack z kolei w dalszym ciągu wykorzystuje ten ciąg znaków, o czym można przekonać się, pobierając demo aplikacji z Google Play.

Opisywany przypadek to kolejna luka znaleziona w aplikacjach dla samochodów. Wcześniej pisaliśmy w CHIP-ie o błędach programistycznych w systemach alarmowych Pandory i amerykańskiej firmy Viper, które pozwalały przestępcy przejąć kontrolę nad autem. | CHIP

Close

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.