黑客入侵GPS跟踪程序后发现可以远程关闭汽车引擎

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2019/05/07 09:38:32 466
文章来源:https://www.aqniu.com/hack-geek/47642.html

黑客表示:我绝对可以在世界范围内制造大型交通事件。

alt

        一名黑客入侵了两个GPS跟踪程序关联的数千个账户,使他能够监控数万辆汽车所在的位置,甚至能够在其中一些汽车行驶时关掉其引擎。

        这位名为L&M的黑客入侵了7000多个iTrack账户和20000多个ProTrack账户。企业通过这两个应用程序提供GPS服务,监控和管理车辆。黑客能够通过应用程序追踪世界上少数几个国家的车辆,包括南非、摩洛哥、印度和菲律宾。根据某些GPS跟踪设备制造商的说法,通过该软件能够远程关闭一部分处在停车状态或以每小时12英里或更慢速度行驶的汽车的发动机。

        通过逆向工程ProTrack和iTrack的Android应用程序,L&M发现所有用户在注册时都会得到一个默认密码——123456。

        那时,这名黑客通过应用程序的API暴力获取了 “数百万用户名”。然后,他编写了一个脚本,试图使用这些用户名和默认密码登录。最终实现自动入侵数千个使用默认密码的账户,并从中获取数据。

根据L&M共享的用户数据样本显示,黑客窃取了ProTrack和iTrack用户的宝贵信息,包括:他们使用的GPS跟踪设备的名称和型号、设备的唯一ID号 (技术上称为IMEI号);用户名、真实姓名、电话号码、电子邮件地址和现实地址 (根据L&M的说法,他无法获取所有用户的信息;对于某些用户,他只能获得到上面提到的一部分信息)。

        通过与四位用户(这四位用户在L&M的样本中)进行交谈后发发现,确认了用户的数据被泄露过,即黑客提供的数据是真实的。

L&M在一次在线聊天中表示:

我的目标是企业,而不是用户。因为这家公司,用户正在面临风险。他们需要赚钱,但不想保护自己的客户。

alt

黑客提供的被入侵账户的截图

L&M还声称,他能做到的远不止监控用户车辆这么简单。

我绝对可以在世界范围内制造大型交通事件。我已经对成千上万辆汽车实现了全权控制,只要一个手指,我就能让这些汽车的引擎停止工作。

        尽管如此,该黑客表示他从未破坏过任何汽车的引擎,因为那样太危险了。虽然黑客没有证明他能够关掉汽车发动机,但Concox的代表,一些ProTrack GPS和iTrack用户使用的一个GPS跟踪设备的硬件制造商,表示黑客仍然可以远程关闭引擎,如果车辆行驶速度在每小时20公里以下(约12英里每小时)。

黑客提供的截图显示,这些应用程序拥有“停止引擎”的功能。

alt

Rahim Luqmaan,Probotik Systems的所有人(南非一家使用ProTrack的公司)表示通过ProTrack关闭引擎是有可能的,如果技术人员在安装跟踪设备时启用了这项功能。

这就更加危险了。他实际上可以随意操纵……我们的用户。

        ProTrack由总部位于中国深圳的比图科技公司制造。iTrack由总部位于中国广州的斯沃德科技公司生产。iTryBrand和SEEWORLD都对经销商销售硬件跟踪设备和云平台,以便他们能够直接管理这些设备。而这些经销商则对用户销售硬件和服务。L&M声称他也入侵了一些经销商的账户,这样他就可以监控车辆并控制客户的账户。

        在Google Play的应用程序页面上,iTrack挂出了一个免费试用帐户为自己打广告,用户名为 “demo”,密码为 “123456”。ProTrack在其网站上为潜在客户提供免费试用版本。随后,当测试人员尝试试用免费版本时,网站弹出一个修改密码的提示,因为“默认密码太简单了”。上周,当测试人员进行第一次试用时,这个消息没有出现。此外,ProTrack的API在其文档中还提到了默认密码 “123456”。

        从两个应用程序的用户界面来看,ProTrack和iTrack共享相同的底层代码。

        L&M表示,ProTrack已经通过应用程序和电子邮件联系客户,要求他们在本周更改他们的密码,但目前还没有强制用户重置密码。

ProTrack通过电子邮件否认了这一数据泄露事件,但确认了他们正在联系用户修改密码。

我们的系统工作地很好,修改密码是保护账户安全的正常手段,就像其他系统做的一样,这有什么问题吗? 而且你为什么要联系我们的客户,让他们收到这种无聊的邮件。为什么黑客要联系你?

而iTrack没有立即回复关于通过电子邮件发送的评论请求的问题。

L&M表示他联系了这些公司进行邀功。在ProTrack回复他的截图中,一名公司代表要求黑客提供一个“低价格”报价。

如果我们付钱给你,你会把工具交给我们,不再黑我们的账户吗? 我们怎么才能确定呢?很抱歉问了这么多问题,这是我们第一次发生这种事故。

这名黑客拒绝透露他与该公司的更多联系。但他说他已经得到了他想要的。

他们在我进行攻击之后发出了警告,这对我来说是成功的。迫使他们注意安全。他们现在知道他们的客户面临风险,所以他们把重点放在如何确保他们的服务安全上。


推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室