Хакер взломал приложения для GPS-мониторинга автомобилей

Доступ к аккаунтам позволяет отслеживать машины по всему миру и глушить их двигатели

Фото: flickr.com/ericneitzel

Хакер под псевдонимом L&M сообщил изданию Motherboard, что взломал почти 30 тыс. аккаунтов в двух Android-приложениях для GPS-мониторинга автомобилей — iTrack (7 тыс. учетных записей) и ProTrack (более 20 тыс.). Он узнал, что программное обеспечение некоторых машин позволяет удаленно глушить двигатель, а также получил возможность отслеживать местонахождение транспортных средств в ряде стран мира, включая ЮАР, Марокко, Индию и Филиппины.

С помощью обратного инжиниринга приложений (изучение программы с целью понять принцип ее работы — нередко для того, чтобы создать аналогичную, — прим. +1) хакер выяснил, что при регистрации всем пользователям по умолчанию дается пароль «123456». С помощью брутфорса L&M получил доступ к миллионам логинов через API указанных приложений. Затем хакер написал скрипт для входа в систему с использованием юзернеймов и пароля по умолчанию. Это позволило ему автоматически взломать тысячи учетных записей, в которых не менялся пароль, и извлечь из них такие данные, как название, модель и серийный номер (IMEI) GPS-трекера, имя владельца аккаунта, номер телефона, email и физический адрес. Четыре пользователя подтвердили Motherboard утечку данных.

«Моей целью были клиенты, а не компании, — рассказал L&M журналистам. — Клиенты подвергаются риску из-за компаний, которые хотят делать деньги, но не желают заботиться о безопасности своих пользователей». Хакер отметил, что может создать «большие проблемы» на дорогах во всем мире. Сам он делать этого не пытался, но производитель GPS-трекеров Concox подтвердил, что его клиенты могут дистанционно отключать двигатели, при условии того, что машина движется со скоростью, не превышающей 20 км в час.

Приложения разработаны китайскими компаниями: ProTrack — iTryBrand Technology (Шэньчжэнь), а iTrack — SEEWORLD (Гуанчжоу). Обе продают GPS-трекеры и облачные платформы для управления ими как напрямую пользователям, так и дистрибьюторам, к аккаунтам некоторых из которых L&M также получил доступ, что дало ему возможность управлять учетными записями их клиентов.

На странице приложения iTrack в Google Play рекламируется бесплатный аккаунт с именем пользователя «Demo» и паролем «123456». Аналогичная демо-версия доступна потенциальным клиентам на сайте ProTrack. Motherboard решил ее протестировать. На прошлой неделе сотрудники увидели на сайте сообщение, призывавшее их сменить пароль. Но неделей ранее, когда они испытывали демо впервые, подсказка не появлялась. Более того, в документации для API ProTrack также встречается упоминание пароля по умолчанию.

По словам L&M, владельцы ProTrack уже обратились к пользователям с просьбой сменить пароль, но не требуют этого в обязательном порядке. Эту информацию в компании подтвердили, но сам факт взлома отрицали.

L&M сказал, что связался с представителями ProTrack и потребовал вознаграждение за обнаруженную проблему. В ответ разработчики попросили хакера снизить цену и пообещать, что он больше не будет заниматься взломом. L&M отказался предоставлять другую информацию о своей переписке с ProTrack и заключил, что ему удалось достичь своей цели — заставить разработчиков уделять больше внимания безопасности своих сервисов.