他说:“我可能在世界范围内造成严重的交通问题。”
黑客入侵了两个GPS跟踪应用程序用户的数千个帐户,这使他能够跟踪成千上万辆汽车的位置,甚至在旅途中关闭其中一些发动机。
一位名为L&M的黑客告诉Motherboard,他入侵了7,000多个
iTrack帐户和20,000多个
ProTrack帐户,这些应用程序被公司用来通过GPS跟踪和管理车队。 黑客能够在全球多个国家(包括南非,摩洛哥,印度和菲律宾)追踪汽车。 在某些汽车中,该软件可让您远程关闭引擎,而汽车的站立或移动速度不得超过20 km / h,具体取决于某些GPS跟踪设备的制造商。
他说,在对Android ProTrack和iTrack,L&M进行反向工程应用后,他意识到所有客户端在注册时都将使用相同的默认密码123456。
然后,黑客可以通过简单的蛮力使用应用程序API查找“数百万个用户名”。 然后,他编写了一个脚本,尝试使用找到的用户名和默认密码登录帐户。
这使他能够自动破解使用默认密码的数千个帐户并从中提取数据。
根据L&M与Motherboard共享的用户数据样本,黑客确实收集了有关ProTrack和iTrack客户端的大量信息,包括:GPS信标的名称和型号,唯一ID(称为IMEI),用户名,真实姓名,电话号码,电子邮件和家庭住址。 L&M表示无法为每个用户提取所有这些信息。 对于某些人来说,信息只是部分接收。
通过与L&M样本中的四个用户交谈,编辑者能够确认黑客入侵的真实性。 受访者确认了黑客提供的信息的准确性。
“我的目标是公司,而不是客户。 L&M编辑在聊天中说,由于公司的行为,客户面临风险。 “他们需要赚钱,他们不想保护自己的客户。”
使用被黑用户帐户的屏幕截图L&M还表示,它不仅可以跟踪用户的机器,还能做更多的事情。 他说:“我可能在世界范围内造成严重的交通问题。” “我对数十万辆汽车拥有完全控制权,一键就能停止其发动机。”
但是,黑客表示,他从未关闭过单个引擎,因为那样太危险了。 尽管黑客没有证明自己有能力关闭引擎,但Concox的代表(一些ProTrack GPS和iTrack用户使用的
一种设备的制造商)向编辑证实,如果汽车行驶速度低于20 km / h,客户确实可以远程关闭引擎。
根据黑客提供的截图,该应用程序具有“停止引擎”的能力。
使用ProTrack的南非公司Probotik Systems的所有者Rahim Luckman告诉社论人员,如果技术人员在安装GPS信标时打开此功能,则ProTrack可用于停止引擎。 “这使情况更加危险,”拉克曼谈到数据泄漏时说。 “这确实会给我们的客户和用户造成混乱。”
ProTrack由中国深圳的iTryBrand Technology提供支持。 iTrack由来自中国广州的SEEWORLD提供支持。 两家公司都向个人以及软件和设备分销商出售跟踪设备和云服务。 L&M表示,它入侵了一些分销商的帐户,从而允许其跟踪设备并控制其用户的帐户。
iTrack在Google Play上
的应用页面上,广告了一个免费的演示帐户,用户名为Demo,密码为123456。ProTrack为用户提供了
在其网站上的免费演示。 本周,当编辑人员检查了该演示时,该站点发出了有关需要更改密码的警告,因为“默认密码太简单了”。 一周前还没有此消息。 ProTrack API
文档还指定了默认密码123456。
从两个应用程序的接口来看,它们使用相同的基本代码。
L&M表示,ProTrack本周通过应用程序和邮件与客户联系,要求他们更改密码,但到目前为止,并没有强迫这样做。 ProTrack拒绝数据泄漏,但确认它为用户提供了更改密码的方法。
公司发言人说:“我们的系统运行良好,并且更改密码是维护帐户安全性的正常方法。” “此外,您为什么要联系我们的客户并打扰他们?” 黑客为何与您联系?”
ITrack没有回应置评请求。
L&M表示已联系依赖薪酬的公司。 在屏幕快照中,可以看到ProTrack的答案,公司代表要求黑客给他们分配“低价”。
“如果我们付款,您会给我们您的工具并且不会再破解我们的帐户吗?” 我们如何确定这一点? 抱歉,有这么多问题,但这是我们第一次遇到这个噩梦。”
黑客拒绝对此公司发表进一步评论。 但是他说他收到了他想要的。 “我的袭击警告了他们,我认为这是成功的。 “让他们担心安全性,” L&M说。 “现在,他们知道他们的用户处于危险之中,并专注于略微提高其服务的安全性。”