Bezpieczeństwo
Haker zdalnie wyłączał silniki w samochodach za pomocą aplikacji GPS iTrack i ProTrack

Pisaliśmy Wam o zhakowanych hulajnogach elektrycznych Xiaomi, nad którymi można było łatwo zyskać kontrolę w kwestii hamowania i dodawania gazu, a co jeśli teraz bez problemu można zrobić to samo z samochodami?

A mówiąc precyzyjniej, tak się właśnie stało, bo pewien haker ukrywający się za pseudonimem L&M, włamał się do tysięcy kont użytkowników dwóch aplikacji GPS, co pozwoliło mu na monitorowanie lokacji tysięcy samochodów, a nawet… wyłączenie ich silnika, części nawet podczas jazdy! Mowa o 7 tysiącach kont aplikacji iTrack i 20 tysiącach kont aplikacji ProTrack, z których korzystają duże koncerny do zarządzania swoimi flotami.

Haker był w stanie śledzić samochody w różnych miejscach świata, jak Republika Południowej Afryki, Maroko, Indie czy Filipiny. Co w tym przypadku najbardziej niebezpieczne, oprogramowanie przy części samochodów pozwala na zdalne wyłączenie silnika pojazdu, kiedy ten się nie porusza lub jedzie z prędkością poniżej 20 km/h. A jak udało się tego dokonać? Po inżynierii wstecznej na obu aplikacjach, L&M zauważył, że wszyscy użytkownicy dostali domyślne hasło 123456 (chyba coś o tym wczoraj pisaliśmy, prawda?), co znacznie ułatwiło mu zadanie.

Jak wynika z informacji, jakimi L&M podzielił się z serwisem Motherboard, który nagłośnił całą sprawę, uzyskał w ten sposób dostęp do następujących danych: nazwa i model używanego trackera GPS, unikalny numer ID urządzenia, nazwa użytkownika, imię i nazwisko, numer telefonu, adres mailowy i adres zamieszkania (nie w każdym przypadku udało się uzyskać pełen komplet informacji). Jak następnie ustalił Motherboard, informacje te były prawdziwe, bo potwierdziło je kilku zhakowanych użytkownik z listy hakera.

Jak twierdzi L&M: - Moim celem była firma, nie jej klienci. Klienci są narażeni na ryzyko przez firmę. Ta chce tylko zarabiać pieniądze i nie dba o bezpieczeństwo swoich klientów. Haker przyznaje też, że choć był w stanie zdalnie wyłączyć silniki niektórych pojazdów, to tego nie zrobił, bo byłoby to zbyt niebezpiecznie, a nie taki jest jego cel: - Mogę wywołać ogromny problem komunikacyjny na całym świecie. Mam pełną [sic] kontrolę nad setkami tysięcy samochodów i jednym dotknięciem mogę zgasić ich silniki.

I choć haker nie przedstawił żadnych dowodów na to, że faktycznie jest w stanie zdalnie wyłączyć silnik, to przedstawiciel Concox, firmy zajmującej się hardwarem do urządzeń GPS, przyznał, że faktycznie jest to możliwe, bo jest to jedna z opcji dostępnych dla klientów. Dlatego najciekawsza jest reakcja włodarzy obu aplikacji - iTrack nie zdecydowało się na żaden komentarz, a ProTrack jedynie prosi klientów o zmianę hasła, zapewniając, że wszystko jest w porządku. W międzyczasie jednak prowadziło rozmowy z hakerem, który zażądał zapłaty za swoje odkrycie i podobno dostał to co chciał, komentując jedynie, że: - Zostali ostrzeżeni, co jest moim sukcesem. Wiedzą, że ich klienci są zagrożenia, dlatego skupili się na zabezpieczeniu swojej usługi.

Źródło: GeekWeek.pl/Motherboard / Fot. Motherboard