Abo
  • IT-Karriere:

Hack: Die Motoren am anderen Ende der Welt stoppen

Ein Hacker hat auf knapp 30.000 Kundenkonten von zwei GPS-Tracker-Apps zugreifen können. Neben umfangreichen Einblicken hätte er bei manchen Fahrzeugen auch den Motor während der Fahrt ausschalten können - per App oder Webclient.

Artikel veröffentlicht am ,
Ob diese Fahrzeuge aus der Ferne gestoppt werden können?
Ob diese Fahrzeuge aus der Ferne gestoppt werden können? (Bild: pixel2013/Pixabay)

Mit den Apps Protrack und iTrack kann die Fahrzeugflotte per GPS getrackt werden. Einem Hacker, der sich L&M nennt, ist es gelungen, mehrere Tausend Kundenkonten zu übernehmen. Laut einem Bericht des Onlinemagazins Motherboard konnte er nicht nur die Bewegungen der Autos und persönliche Daten einsehen. Vielmehr hätte er bei manchen auch die Motoren stoppen können, sofern die verbauten Hardware-GPS-Tracker im Fahrzeug dies unterstützten. Neben den Apps können auch unverschlüsselte Webclients genutzt werden.

Stellenmarkt
  1. Porsche AG, Zuffenhausen
  2. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart

L&M gab in dem Bericht an, auf mehr als 7.000 Konten bei iTrack und über 20.000 bei Protrack zugreifen zu können. Dafür habe er Millionen Nutzernamen über einen Brute-Force-Angriff - das massenhafte Durchprobieren von Nutzernamen-Kombinationen - ermittelt. Die beiden Tracking-Apps setzen das Standardpasswort "123456", mit dem er sich tausendfach erfolgreich anmelden konnte. Protrack nennt das Standardpasswort sogar explizit in seiner API-Dokumentation, bei iTrack wird es für das Demo-Konto verwendet.

Autos stoppen und viele Daten

Nach dem erfolgreichen Login konnte L&M umfangreiche Informationen über Kunden und Fahrzeuge einsehen. Je nach Konto habe er den Namen und das Modell der verwendeten GPS-Hardware im Fahrzeug, dessen eindeutige IMEI-Nummer, die Namen und Nutzernamen der Kunden, deren Adresse, Telefonnummer und die E-Mail-Adresse einsehen können. Zudem habe er die Standorte und Bewegungen der Fahrzeuge auf einer Karte angezeigt bekommen. Sofern die GPS-Hardware in den entsprechenden Autos die Funktion zum Stoppen des Motors unterstützte, hätte er die Autos aus der Ferne anhalten können. Ein Sprecher von Concox, dessem GPS-Tracker in einigen der betroffenen Fahrzeugen verbaut wurden, bestätigte Motherboard, dass sich der Motor über die Geräte aus der Ferne ausschalten lasse - sofern die Geschwindigkeit des Fahrzeugs 20 Kilometer pro Stunde nicht überschreite.

"Ich hätte für massive Verkehrsprobleme auf der ganzen Welt sorgen können", sagte L&M dem Onlinmagazin. "Ich habe die volle Kontrolle über Hunderttausende Fahrzeuge und kann deren Motoren per Touch stoppen." Das habe er jedoch nie getan, da dies zu gefährlich sei. Sein Ziel seien nicht die Kunden, sondern die Firma gewesen, die ihre Kunden in Gefahr bringe.

Unverschlüsselte Webclients

Die Apps sind für iOS und Android erhältlich. Laut Google Play Store weist iTrack über 50.000 und Protrack über 100.000 Installationen auf. Die Apps werden von den Firmen iTryBrand Technology und Seeworld, beide mit Sitz in Shenzhen, China, vertrieben.

Neben den Apps können die Fahrzeuge auch über die Webseiten der Anbieter getrackt werden. Diese sind bei beiden Anbietern auch in deutscher Sprache verfügbar. Die Verbindung zu Webseite und Webclient kann jedoch nur unverschlüsselt aufgerufen werden. In den jeweiligen Demo-Versionen können die Standorte der Fahrzeuge auf einer Weltkarte eingesehen sowie deren Bewegungsprofile abgerufen werden. Neben umfangreichen Informationen finden sich dort auch die Buttons zum Stoppen der Motoren wieder.



Anzeige
Top-Angebote
  1. mit Rabatt auf Monitore, SSDs, Gehäuse und mehr
  2. (u. a. The Legend of Zelda, Super Smash Bros. Ultimate)
  3. 9,90€ (Release am 22. Juli)
  4. 9,99€ (Release am 24. Juni)

nolonar 29. Apr 2019 / Themenstart

Stell dir vor, wieviele Hacker deinen PC ausschalten können (oder schlimmeres), während...

mark.wolf 26. Apr 2019 / Themenstart

Was hat das mit den massiven Sicherheitslücken beim Anbieter zu tun?

Kommentieren


Folgen Sie uns
       


iPad Mini (2019) - Fazit

Nach vier Jahren hat Apple ein neues iPad Mini vorgestellt. Das neue Modell hat wieder einen 7,9 Zoll großen Bildschirm und unterstützt dieses Mal auch den Apple Pencil.

iPad Mini (2019) - Fazit Video aufrufen
Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Ingolstadt Audi vernetzt Autos mit Ampeln
  2. Waymo One Lyft vermittelt Waymos autonome Taxis
  3. OPA, Mems und MMT Wer baut den ersten Super-Lidar?

Straßenbeleuchtung: Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt
Straßenbeleuchtung
Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt

Gut 40 Prozent der Straßenbeleuchtung funktionierten in Detroit vor ein paar Jahren nicht. Mit einem LED-Erneuerungsprogramm sollte das behoben werden. Doch ausgerechnet ein bestimmter Straßenleuchtentyp von Leotek fällt reihenweise aus.

  1. ULED Ubiquitis Netzwerkleuchten bieten Wechselstromversorgung
  2. Energieeffizienz Produktionsverbot für bestimmte Halogenlampen tritt in Kraft

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

    •  /