Критический недостаток безопасности в приложениях отслеживания GPS, который позволяет удаленным хакерам угнать автомобиль и заглушить двигатель во время движения по дороге.
Хакер, который, как сообщается, поделился информацией с материнской платой о том, что он взломал тысячи учетных записей, принадлежащих пользователям двух приложений GPS-трекера
iTrack и ProTrack.
Он скомпрометировал более 7000 учетных записей iTrack и более 20 000 учетных записей ProTrack, которыми управляли соответствующие владельцы автомобилей, чтобы
использовать для мониторинга и управления парком своих транспортных средств с помощью устройств GPS слежения.
Protrack - это профессиональное программное обеспечение для GPS-слежения. Многие клиенты со всего мира используют это программное обеспечение для предоставления услуг отслеживания в реальном времени владельцам автомобилей.
iTrack - это еще одно приложение, которое обеспечивает системы слежения GPS, систему безопасности GPS Индии, систему слежения за автотранспортными средствами, защиту транспортных средств, систему управления автопарком.
Из-за критической ошибки безопасности в обоих приложениях GPS-отслеживания он переборщил «миллионы имен пользователей» через API приложений. Затем он сказал, что написал скрипт для попытки входа в систему с использованием этих имен пользователей и пароля по умолчанию.
Этот недостаток позволил хакеру автоматически взломать тысячи учетных записей, которые все используют пароль по умолчанию.
Также хакер утверждает, что он может отслеживать транспортные средства в некоторых странах мира, в том числе в Южной Африке, Марокко, Индии и на Филиппинах.
Хакер поделился с материнской платой большим количеством информации, включая имя и модель устройств GPS-слежения, которые они используют, уникальные идентификационные номера устройств (технически известные как номера IMEI); имена пользователей, настоящие имена, номера телефонов, адреса электронной почты и физические адреса. (Согласно L & M, он не смог получить всю эту информацию для всех пользователей; для некоторых пользователей он смог получить только часть вышеуказанной информации.)
Эта легитимность нарушения данных была проверена материнской платой с некоторыми пользователями и подтвердила, что данные, предоставленные хакерами, были полностью оригинальными.
Хакер никогда не пытался убить двигатель любого автомобиля, и он не представил никаких доказательств того, что он может это сделать. но один из производителей GPS-оборудования сказал, что «клиенты могут отключить двигатели дистанционно, если скорость машины меньше 20 километров в час»
Приложения GPS-слежения
«Моей целью была компания, а не клиенты. Клиенты подвергаются риску из-за компании », - сказал L & M Материнская плата в онлайн-чате. «Они должны зарабатывать деньги и не хотят защищать своих клиентов», - сказал Хакер.
ProTrack отрицал нарушение данных по электронной почте, но подтвердил, что побуждает пользователей менять пароли.
«Наша система работает очень хорошо, и смена пароля является нормальным способом обеспечения безопасности аккаунта, как и другие системы, - сказал представитель компании.
