Abo
  • IT-Karriere:

Hack: Die Motoren am anderen Ende der Welt stoppen

Ein Hacker hat auf knapp 30.000 Kundenkonten von zwei GPS-Tracker-Apps zugreifen können. Neben umfangreichen Einblicken hätte er bei manchen Fahrzeugen auch den Motor während der Fahrt ausschalten können - per App oder Webclient.

Artikel veröffentlicht am ,
Ob diese Fahrzeuge aus der Ferne gestoppt werden können?
Ob diese Fahrzeuge aus der Ferne gestoppt werden können? (Bild: pixel2013/Pixabay)

Mit den Apps Protrack und iTrack kann die Fahrzeugflotte per GPS getrackt werden. Einem Hacker, der sich L&M nennt, ist es gelungen, mehrere Tausend Kundenkonten zu übernehmen. Laut einem Bericht des Onlinemagazins Motherboard konnte er nicht nur die Bewegungen der Autos und persönliche Daten einsehen. Vielmehr hätte er bei manchen auch die Motoren stoppen können, sofern die verbauten Hardware-GPS-Tracker im Fahrzeug dies unterstützten. Neben den Apps können auch unverschlüsselte Webclients genutzt werden.

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, München
  2. Villeroy & Boch AG, Mettlach

L&M gab in dem Bericht an, auf mehr als 7.000 Konten bei iTrack und über 20.000 bei Protrack zugreifen zu können. Dafür habe er Millionen Nutzernamen über einen Brute-Force-Angriff - das massenhafte Durchprobieren von Nutzernamen-Kombinationen - ermittelt. Die beiden Tracking-Apps setzen das Standardpasswort "123456", mit dem er sich tausendfach erfolgreich anmelden konnte. Protrack nennt das Standardpasswort sogar explizit in seiner API-Dokumentation, bei iTrack wird es für das Demo-Konto verwendet.

Autos stoppen und viele Daten

Nach dem erfolgreichen Login konnte L&M umfangreiche Informationen über Kunden und Fahrzeuge einsehen. Je nach Konto habe er den Namen und das Modell der verwendeten GPS-Hardware im Fahrzeug, dessen eindeutige IMEI-Nummer, die Namen und Nutzernamen der Kunden, deren Adresse, Telefonnummer und die E-Mail-Adresse einsehen können. Zudem habe er die Standorte und Bewegungen der Fahrzeuge auf einer Karte angezeigt bekommen. Sofern die GPS-Hardware in den entsprechenden Autos die Funktion zum Stoppen des Motors unterstützte, hätte er die Autos aus der Ferne anhalten können. Ein Sprecher von Concox, dessem GPS-Tracker in einigen der betroffenen Fahrzeugen verbaut wurden, bestätigte Motherboard, dass sich der Motor über die Geräte aus der Ferne ausschalten lasse - sofern die Geschwindigkeit des Fahrzeugs 20 Kilometer pro Stunde nicht überschreite.

"Ich hätte für massive Verkehrsprobleme auf der ganzen Welt sorgen können", sagte L&M dem Onlinmagazin. "Ich habe die volle Kontrolle über Hunderttausende Fahrzeuge und kann deren Motoren per Touch stoppen." Das habe er jedoch nie getan, da dies zu gefährlich sei. Sein Ziel seien nicht die Kunden, sondern die Firma gewesen, die ihre Kunden in Gefahr bringe.

Unverschlüsselte Webclients

Die Apps sind für iOS und Android erhältlich. Laut Google Play Store weist iTrack über 50.000 und Protrack über 100.000 Installationen auf. Die Apps werden von den Firmen iTryBrand Technology und Seeworld, beide mit Sitz in Shenzhen, China, vertrieben.

Neben den Apps können die Fahrzeuge auch über die Webseiten der Anbieter getrackt werden. Diese sind bei beiden Anbietern auch in deutscher Sprache verfügbar. Die Verbindung zu Webseite und Webclient kann jedoch nur unverschlüsselt aufgerufen werden. In den jeweiligen Demo-Versionen können die Standorte der Fahrzeuge auf einer Weltkarte eingesehen sowie deren Bewegungsprofile abgerufen werden. Neben umfangreichen Informationen finden sich dort auch die Buttons zum Stoppen der Motoren wieder.



Anzeige
Spiele-Angebote
  1. 229,00€
  2. 44,99€
  3. (-78%) 11,00€

nolonar 29. Apr 2019

Stell dir vor, wieviele Hacker deinen PC ausschalten können (oder schlimmeres), während...

mark.wolf 26. Apr 2019

Was hat das mit den massiven Sicherheitslücken beim Anbieter zu tun?


Folgen Sie uns
       


Acer Predator Helios 700 - Hands on (Ifa 2019)

Was für ein skurriles Gerät: Golem.de schaut sich das Gaming-Notebook Predator Triton 700 von Acer an und probiert die Schiebetastatur aus.

Acer Predator Helios 700 - Hands on (Ifa 2019) Video aufrufen
MINT: Werden Frauen überfördert?
MINT
Werden Frauen überfördert?

Es gibt hierzulande einige Förderprogramme, die mehr Frauen für MINT begeistern und in IT-Berufe bringen möchten. Werden Männer dadurch benachteiligt?
Von Valerie Lux

  1. Recruiting Wenn das eigene Wachstum zur Herausforderung wird
  2. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  3. LoL Was ein E-Sport-Trainer können muss

Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Elektromobilität Stromwirtschaft will keine Million öffentlicher Ladesäulen
  2. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  3. Batterieprobleme Auslieferung des e.Go verzögert sich

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

    •  /