Hack: Die Motoren am anderen Ende der Welt stoppen
Mit den Apps Protrack und iTrack kann die Fahrzeugflotte per GPS getrackt werden. Einem Hacker, der sich L&M nennt, ist es gelungen, mehrere Tausend Kundenkonten zu übernehmen. Laut einem Bericht des Onlinemagazins Motherboard(öffnet im neuen Fenster) konnte er nicht nur die Bewegungen der Autos und persönliche Daten einsehen. Vielmehr hätte er bei manchen auch die Motoren stoppen können, sofern die verbauten Hardware-GPS-Tracker im Fahrzeug dies unterstützten. Neben den Apps können auch unverschlüsselte Webclients genutzt werden.
L&M gab in dem Bericht an, auf mehr als 7.000 Konten bei iTrack(öffnet im neuen Fenster) und über 20.000 bei Protrack(öffnet im neuen Fenster) zugreifen zu können. Dafür habe er Millionen Nutzernamen über einen Brute-Force-Angriff – das massenhafte Durchprobieren von Nutzernamen-Kombinationen – ermittelt. Die beiden Tracking-Apps setzen das Standardpasswort "123456", mit dem er sich tausendfach erfolgreich anmelden konnte. Protrack nennt das Standardpasswort sogar explizit in seiner API-Dokumentation(öffnet im neuen Fenster), bei iTrack wird es für das Demo-Konto verwendet.
Autos stoppen und viele Daten
Nach dem erfolgreichen Login konnte L&M umfangreiche Informationen über Kunden und Fahrzeuge einsehen. Je nach Konto habe er den Namen und das Modell der verwendeten GPS-Hardware im Fahrzeug, dessen eindeutige IMEI-Nummer, die Namen und Nutzernamen der Kunden, deren Adresse, Telefonnummer und die E-Mail-Adresse einsehen können. Zudem habe er die Standorte und Bewegungen der Fahrzeuge auf einer Karte angezeigt bekommen. Sofern die GPS-Hardware in den entsprechenden Autos die Funktion zum Stoppen des Motors unterstützte, hätte er die Autos aus der Ferne anhalten können. Ein Sprecher von Concox, dessem GPS-Tracker in einigen der betroffenen Fahrzeugen verbaut wurden, bestätigte Motherboard, dass sich der Motor über die Geräte aus der Ferne ausschalten lasse – sofern die Geschwindigkeit des Fahrzeugs 20 Kilometer pro Stunde nicht überschreite.
"Ich hätte für massive Verkehrsprobleme auf der ganzen Welt sorgen können", sagte L&M dem Onlinmagazin. "Ich habe die volle Kontrolle über Hunderttausende Fahrzeuge und kann deren Motoren per Touch stoppen." Das habe er jedoch nie getan, da dies zu gefährlich sei. Sein Ziel seien nicht die Kunden, sondern die Firma gewesen, die ihre Kunden in Gefahr bringe.
Unverschlüsselte Webclients
Die Apps sind für iOS und Android erhältlich. Laut Google Play Store weist iTrack über 50.000(öffnet im neuen Fenster) und Protrack über 100.000 Installationen(öffnet im neuen Fenster) auf. Die Apps werden von den Firmen iTryBrand Technology und Seeworld, beide mit Sitz in Shenzhen, China, vertrieben.
Neben den Apps können die Fahrzeuge auch über die Webseiten der Anbieter getrackt werden. Diese sind bei beiden Anbietern auch in deutscher Sprache verfügbar. Die Verbindung zu Webseite und Webclient kann jedoch nur unverschlüsselt aufgerufen werden. In den jeweiligen Demo-Versionen können die Standorte der Fahrzeuge auf einer Weltkarte eingesehen sowie deren Bewegungsprofile abgerufen werden. Neben umfangreichen Informationen finden sich dort auch die Buttons zum Stoppen der Motoren wieder.
- Anzeige Hier geht es zu Echo Auto 2 bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.