Warning: Use of undefined constant USING_SEPARATE_MOBILE_VERSION - assumed 'USING_SEPARATE_MOBILE_VERSION' (this will throw an Error in a future version of PHP) in /www/htdocs/w013a356/bluebit.de/mods/core/classes/Main.class.php on line 9

Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /www/htdocs/w013a356/bluebit.de/mods/article/classes/InfoboxContainer.class.php on line 45
Hacker kann Autos per Smartphone-App stoppen
bluebit

GPS-Tracker unsicher

Hacker kann Autos per Smartphone-App stoppen

von Robert Klatt •

Die Apps der GPS-Tracker erlauben es die Motoren während der Fahrt zu deaktivieren. Als Standard-Passwort ist „123456“ eingestellt.


0 Kommentare

Laut einem Bericht des Magazins Motherboard kann ein Hacker, der sich selbst nur als „L&M“ bezeichnet, über gehackte Konten der GPS-Tracker iTrack und ProTrack zahntausende Autos weltweit kontrollieren. L&M hat gegenüber dem Motherboard belegt, dass es die Position der Fahrzeuge in Echtzeit nachverfolgen kann und auf persönliche Daten der Kunden wie Name, Adresse, Telefonnummer und die Identifikationsnummer des jeweiligen GPS-Tracker Zugriff besitzt. Die GPS-Tracker werden sowohl von Privatpersonen als auch Unternehmen eingesetzt, um den Standort der Fahrzeuge zu verfolgen und sollen so vor Diebstählen schützen.

Dies ist besonders kritisch, da bei einigen GPS-Tracker der Motor aus der Ferne ausgeschaltet werden, wenn die Fahrzeuge eine Geschwindigkeit von unter 20 km/h haben. Laut den Angaben des Hackers konnte er mithilfe von Reverse Engineering der beiden Smartphone-Apps das Standard-Passwort „123456“ erfahren und so Zugriff auf die Server der Unternehmen erhalten.

Passwort dringend ändern

Nutzer einer der beiden betroffenen GPS-Tracker sollten umgehend das Standard-Passwort ändern, falls sie dies noch nicht getan haben. L&M erklärt, dass das unsichere Standard-Password ihm ermöglicht hat „Millionen von Nutzerkonten“ von den Servern der Unternehmen zu stehlen. Dazu hat er ein Script geschrieben, dass lediglich mithilfe des Standard-Passworts, das bei einem der Unternehmen sogar öffentlich in der Online-Dokumentation stand, automatische Login-Versuche durchführte. Laut eigenen Angaben erhielt L&M so Zugriff mehr als zehntausend aktive genutzte GPS-Tracker.

Neben den Standard-Passwörtern, bei denen es keinen Zwang zur Änderung gab, haben die beiden Hersteller SEEWORLD (iTrack) und iTryBrand Technology (ProTrack) auch noch bei ihrer Serverkonfiguration keinerlei Sicherheitsmechanismen implementiert, die das Herunterladen von Millionen Nutzerdaten verhindern könnten.

Belohnung verlangt

L&M gab gegenüber Motherboard an, dass er „weltweit mit der Motor-Stopp-Funktion der Apps den Verkehr beeinflussen könnte.“ Außerdem liegen Motherboard Beweise vor, die belegen, dass L&M eine Belohnung von ProTrack verlangte, um im Gegenzug die Sicherheitslücken nicht öffentlich zu machen. Im Gegensatz zu einem kriminellen Hacker, der größtmöglichen Schaden anrichten möchte, sind die beiden Unternehmen zwar mit einem PR-Desaster aber ohne Personenschäden davongekommen, die wohl ohne Zweifel aufgetreten wären, wenn L&M weltweit wahllos Motoren fahrender Autos ausgeschaltet hätte.

ProTrack selbst bestreitet trotz der erdrückenden Beweise und der mit L&M erfolgten Kommunikation, dass der Hack jemals stattgefunden hat. Besitzer der GPS-Tracker wurden trotzdem kontaktiert und darauf aufmerksam gemacht, dass sie ihre Passwörter ändern sollten. iTrack verhält sich noch fahrlässiger, da keinerlei Reaktion und keine Mitteilung an die Nutzer ihre GPS-Tracker erfolgt.

0 Kommentare

Kommentar verfassen