Hack: Die Motoren am anderen Ende der Welt stoppen

Ein Hacker hat auf knapp 30.000 Kundenkonten von zwei GPS-Tracker-Apps zugreifen können. Neben umfangreichen Einblicken hätte er bei manchen Fahrzeugen auch den Motor während der Fahrt ausschalten können - per App oder Webclient.

Artikel veröffentlicht am ,
Ob diese Fahrzeuge aus der Ferne gestoppt werden können?
Ob diese Fahrzeuge aus der Ferne gestoppt werden können? (Bild: pixel2013/Pixabay)

Mit den Apps Protrack und iTrack kann die Fahrzeugflotte per GPS getrackt werden. Einem Hacker, der sich L&M nennt, ist es gelungen, mehrere Tausend Kundenkonten zu übernehmen. Laut einem Bericht des Onlinemagazins Motherboard konnte er nicht nur die Bewegungen der Autos und persönliche Daten einsehen. Vielmehr hätte er bei manchen auch die Motoren stoppen können, sofern die verbauten Hardware-GPS-Tracker im Fahrzeug dies unterstützten. Neben den Apps können auch unverschlüsselte Webclients genutzt werden.

Stellenmarkt
  1. SAP-ABAP-Entwickler (m/w/d) SAP PP und PP/DS (APO) - Produktionsplanung und Supply Chain
    MTU Aero Engines AG, München
  2. IT-Systemadministrator/-in IT-Netzwerkadministrator/-in (m/w/d)
    Schlenotronic Computervertriebs GmbH, Frankenthal
Detailsuche

L&M gab in dem Bericht an, auf mehr als 7.000 Konten bei iTrack und über 20.000 bei Protrack zugreifen zu können. Dafür habe er Millionen Nutzernamen über einen Brute-Force-Angriff - das massenhafte Durchprobieren von Nutzernamen-Kombinationen - ermittelt. Die beiden Tracking-Apps setzen das Standardpasswort "123456", mit dem er sich tausendfach erfolgreich anmelden konnte. Protrack nennt das Standardpasswort sogar explizit in seiner API-Dokumentation, bei iTrack wird es für das Demo-Konto verwendet.

Autos stoppen und viele Daten

Nach dem erfolgreichen Login konnte L&M umfangreiche Informationen über Kunden und Fahrzeuge einsehen. Je nach Konto habe er den Namen und das Modell der verwendeten GPS-Hardware im Fahrzeug, dessen eindeutige IMEI-Nummer, die Namen und Nutzernamen der Kunden, deren Adresse, Telefonnummer und die E-Mail-Adresse einsehen können. Zudem habe er die Standorte und Bewegungen der Fahrzeuge auf einer Karte angezeigt bekommen. Sofern die GPS-Hardware in den entsprechenden Autos die Funktion zum Stoppen des Motors unterstützte, hätte er die Autos aus der Ferne anhalten können. Ein Sprecher von Concox, dessem GPS-Tracker in einigen der betroffenen Fahrzeugen verbaut wurden, bestätigte Motherboard, dass sich der Motor über die Geräte aus der Ferne ausschalten lasse - sofern die Geschwindigkeit des Fahrzeugs 20 Kilometer pro Stunde nicht überschreite.

"Ich hätte für massive Verkehrsprobleme auf der ganzen Welt sorgen können", sagte L&M dem Onlinmagazin. "Ich habe die volle Kontrolle über Hunderttausende Fahrzeuge und kann deren Motoren per Touch stoppen." Das habe er jedoch nie getan, da dies zu gefährlich sei. Sein Ziel seien nicht die Kunden, sondern die Firma gewesen, die ihre Kunden in Gefahr bringe.

Unverschlüsselte Webclients

Golem Akademie
  1. Microsoft Dynamics 365 Guides mit HoloLens 2: virtueller Ein-Tages-Workshop
    16. Februar 2022, Virtuell
  2. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
Weitere IT-Trainings

Die Apps sind für iOS und Android erhältlich. Laut Google Play Store weist iTrack über 50.000 und Protrack über 100.000 Installationen auf. Die Apps werden von den Firmen iTryBrand Technology und Seeworld, beide mit Sitz in Shenzhen, China, vertrieben.

Neben den Apps können die Fahrzeuge auch über die Webseiten der Anbieter getrackt werden. Diese sind bei beiden Anbietern auch in deutscher Sprache verfügbar. Die Verbindung zu Webseite und Webclient kann jedoch nur unverschlüsselt aufgerufen werden. In den jeweiligen Demo-Versionen können die Standorte der Fahrzeuge auf einer Weltkarte eingesehen sowie deren Bewegungsprofile abgerufen werden. Neben umfangreichen Informationen finden sich dort auch die Buttons zum Stoppen der Motoren wieder.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Corona-Warn-App
Jede geteilte Warnung kostete 100 Euro

Die Bundesregierung hat für die Corona-Warn-App bisher mehr als 130 Millionen Euro ausgegeben. Derzeit gibt es besonders viele rote Warnungen.

Corona-Warn-App: Jede geteilte Warnung kostete 100 Euro
Artikel
  1. Activision Blizzard: Was passiert mit Call of Duty, Diablo und Xbox Game Pass?
    Activision Blizzard
    Was passiert mit Call of Duty, Diablo und Xbox Game Pass?

    Playstation als Verlierer und Exklusivspiele für den Xbox Game Pass: Golem.de über die bislang größte Übernahme durch Microsoft.
    Eine Analyse von Peter Steinlechner

  2. Dice: Update-Roadmap für Battlefield 2042 vorgestellt
    Dice
    Update-Roadmap für Battlefield 2042 vorgestellt

    Ob das reicht? Das Entwicklerstudio Dice hat seine Pläne für Battlefield 2042 vorgestellt. Der Shooter hat extrem niedrige Spielerzahlen.

  3. Glasfaser in Freiburg: Telekom kommt wegen wirrer Auflagen nicht weiter
    Glasfaser in Freiburg
    Telekom kommt wegen wirrer Auflagen nicht weiter

    Um Bauwurzeln zu schonen, sollte die Telekom in Freiburg Glasfaser im Zickzack ausbauen. Das dortige Tiefbauamt lehnte den Plan des Gartenbauamtes aber ab.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED 55" 120Hz 999€ • MindStar (u.a. NZXT WaKü 129€, GTX 1660 499€) • Seagate Firecuda 530 1TB inkl. Kühlkörper + 20€ PSN-Guthaben 189,90€ • HP Omen Gaming-Stuhl 319€ • Sony Pulse 3D Wireless PS5 Headset 79,99€ • Huawei MateBook 16,1" 16GB 512GB SSD 709€ [Werbung]
    •  /