Autos tracken und stoppen: GPS-Tracker mit schwerwiegenden Sicherheitslücken

Die auch in Deutschland eingesetzten GPS-Tracker erlauben es, den Motor des Fahrzeugs zu stoppen. Über Sicherheitslücken ist dies auch Dritten möglich.

Artikel veröffentlicht am ,
Über die Sicherheitslücken lassen sich Autos verfolgen und stoppen.
Über die Sicherheitslücken lassen sich Autos verfolgen und stoppen. (Bild: John Howard/Pixabay)

Über Sicherheitslücken in einem beliebten GPS-Tracker lassen sich nicht nur mehr als eine Million Fahrzeuge verfolgen, sondern auch deren Motoren deaktivieren. Die Sicherheitsfirma Bitsight hat laut einem Bericht des Onlinemagazins Techcrunch insgesamt sechs Sicherheitslücken in dem GPS-Tracker MV720 gefunden und dem Hersteller Micodus gemeldet. Dieser hat jedoch nichts unternommen, um die Lücken zu beheben.

Stellenmarkt
  1. Teamleiter*in Digital Test
    SENEC GmbH, deutschlandweit (Home-Office)
  2. Informatiker/in (FH) (m/w/d)
    Ruhrverband, Essen
Detailsuche

Nach Herstellerangaben sind mehr als 1,5 Millionen der GPS-Tracker bei über 420.000 Kunden weltweit im Einsatz. Darunter sollen sich auch Unternehmen mit Fahrzeugflotten, Strafverfolgungsbehörden, Militär und Regierungen befinden. Die Sicherheitslücken sollen sich teilweise im GPS-Tracker selbst, teilweise aber auch im Webdashboard des Herstellers befinden, mit dem die Kunden ihre Fahrzeugflotten überwachen können.

Die schwerwiegendste Sicherheitslücke ist demnach ein hardcodiertes Passwort, mit dem die vollständige Kontrolle über jeden GPS-Tracker erlangt werden kann. Neben dem Zugriff auf den derzeitigen Standort sollen auch frühere Routen angezeigt werden sowie die Kraftstoffzufuhr des Fahrzeugs unterbrochen werden können. Das Kennwort ist demnach in den Code der Android-App eingebettet und kann entsprechend von Dritten gefunden werden.

Neben dem hardcodierten Passwort werden die Geräte mit einem Nutzerpasswort ausgeliefert, das standardmäßig "123456" lautet. Wird dieses nicht geändert, kann auch damit auf den GPS-Tracker zugegriffen werden. In einer Stichprobe von 1.000 Geräten stellte Bitsight fest, dass das Passwort in 95 Prozent der Fälle nicht geändert wurde.

Die betroffenen GPS-Tracker werden auch in Deutschland eingesetzt

Golem Karrierewelt
  1. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    03./04.11.2022, Virtuell
  2. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    17./18.10.2022, Virtuell
Weitere IT-Trainings

Die Sicherheitsforscher gaben an, die GPS-Tracker auf der ganzen Welt gefunden zu haben, mit der höchsten Konzentration der Geräte in der Ukraine, Russland, Usbekistan und Brasilien sowie in ganz Europa, einschließlich Deutschland und Frankreich. In den USA sei der Einsatz weniger verbreitet, sagte Kevin Long, ein Sprecher von Bitsight zu Techcrunch. Dennoch handele es sich auch dort um Tausende Geräte.

Entsprechend warnt laut Techcrunch auch die für Cybersicherheit zuständige US-Behörde Cisa vor den Geräten. Besitzer der Geräte sollten diese so bald wie möglich entfernen, um das Risiko zu vermindern. Bitsight gab an, Micodus bereits im September 2021 wegen der Sicherheitslücken kontaktiert zu haben. Üblicherweise geben Sicherheitsforscher Unternehmen drei Monate Zeit, um die Lücken zu beheben, bevor sie damit an die Öffentlichkeit gehen. Auf Nachfragen von Techcrunch reagierte Micodus nicht.

Bereits im Jahr 2019 hatte ein Hacker Tausende Kundenkonten der Apps Protrack und iTrack übernommen, mit der ebenfalls die Fahrzeugflotte per GPS getrackt werden kann. Auch hier konnte der Hacker sowohl auf den Standort der Fahrzeuge zugreifen als auch die Motoren am anderen Ende der Welt ausschalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Hacking
Der Bad-USB-Stick Rubber Ducky wird noch gefährlicher

Mit einer neuen Version des Bad-USB-Sticks Rubber Ducky lassen sich Rechner noch leichter angreifen und neuerdings auch heimlich Daten ausleiten.

Hacking: Der Bad-USB-Stick Rubber Ducky wird noch gefährlicher
Artikel
  1. Kilimandscharo: Tanzania Telecommunications bringt Glasfaser auf 3.720 Meter
    Kilimandscharo
    Tanzania Telecommunications bringt Glasfaser auf 3.720 Meter

    Der Campingplatz Horombo Hut bietet Glasfaser-Internet auf 3.720 Meter Höhe. Bald soll auch der höchste Berggifel des Kilimandscharo versorgt werden..

  2. E-Mountainbike Graveler 29 Zoll: Aldi verkauft Mountain-E-Bike von Prophete
    E-Mountainbike Graveler 29 Zoll
    Aldi verkauft Mountain-E-Bike von Prophete

    Aldi bietet ein sportliches E-Bike für knapp 1.000 Euro an. Das Graveler 29 Zoll ist für unwegsames Gelände und die Stadt gedacht und dabei recht leicht.

  3. Sprachanschlüsse: Telekom erhöht die Preise
    Sprachanschlüsse
    Telekom erhöht die Preise

    Wer nur telefonieren will, muss bei der Telekom etwas mehr zahlen. Das betrifft die Call-Start-Tarife.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 10%-Gaming-Gutschein bei eBay • Grafikkarten zu Tiefpreisen (Palit RTX 3090 Ti 1.391,98€, Zotac RTX 3090 1.298,99€, MSI RTX 3080 Ti 1.059€) • PS5 bei Amazon • HP HyperX Gaming-Maus 29€ statt 99€ • MindStar (ASRock RX 6900XT 869€) • Bester 2.000€-Gaming-PC [Werbung]
    •  /