Хакер взломал 30 тысяч автомобилей через Android и глушил двигатели по всему миру

Опубликовано at 19:11
266 0

Журналисты издания Vice Motherboard рассказали о «подвиге» хакера L&M, который взломал почти 30 000 аккаунтов в двух Android-приложениях для GPS-мониторинга: iTrack (7000 учетных записей) и ProTrack (20 000 учетных записей). Эти приложения вместе с отслеживающими GPS устройствами широко используются по всему свету, таким образом, L&M скомпрометировал аккаунты в Южной Африке, Марокко (запечатлено на скриншоте ниже), а также в Индии, и на Филиппинах.

Сообщается, что в ходе взлома взломщик получил доступ не только к информации о местоположении чужих машин, но и (что самое пугающее) возможность контролировать некоторые их функции. Так, в некоторых автомобилях можно даже удаленно заглушить двигатель, если машина движется со скоростью 20 километров в час или медленнее.

Все началось с того, что L&M отреверсил код ProTrack и iTrack, и обнаружил, что во время регистрации в приложениях всем пользователям по умолчанию присваивается пароль «123456», который затем можно поменять (iTrack рекламирует бесплатный демо-аккаунт с именем Demo и паролем 123456 прямо на своей странице в Google Play). Применив к API приложений брутфорс, хакер собрал миллионы юзернеймов, а затем написал простой скрипт, который перебирал эти имена пользователей и пытался войти в учетные записи, используя дефолтный пароль. Итогом стала успешная компрометация почти 30 000 аккаунтов.

По словам хакера, с полученным доступом, он мог бы создать крупные проблемы на дорогах во многих городах мира. Дело в том, что L&M получил возможность не просто шпионить за пользователями и их машинами, но и управлять некоторыми автомобилями удаленно. По его словам, таких доступных машин насчитывается несколько тысяч. На скриншоте ниже в интерфейсе приложения действительно можно увидеть опцию stop engine («заглушить двигатель»).

Самый, конечно, неловкий момент, хакер L&M утверждает, что он уже связывался с представителями ProTrack и попросил у компании вознаграждение за обнаруженную брешь. Он показал журналистам отрывки переписки, на которых видно, как разработчики тянут время, просят хакера снизить цену, а также задают вопросы: «Если мы заплатим, вы предоставите нам инструмент и больше не будете взламывать наш аккаунт? Как мы можем быть в этом уверены? Простите за такое количество вопросов, но мы впервые сталкиваемся с подобной катастрофой».

 

Хакеры и автомобили — вот он, понятный любому школьнику момент болезненного соприкосновения кибермира с миром реальным. Ранее АКБ рассказывало, как каршеринговый сервис Car2GO лишился сотни (!) дорогих Mercedez-Benz вроде как после взлома приложения (подробностей этого удивительного преступления пока не разглашают, дело произошло в Чикаго). Сейчас местная полиция предпринимает меры по возвращению транспортных средств. По данным CBS Chicago, многие из украденных машин «использовались для совершения преступлений». Представьте, какие возможности для преступлений открывают халявные авто для хакеров по щелчку пальцев…

Напомним также про недавний роскошный прецедент, который, если бы не бдительность специалистов по кибербезопасности, открыл бы перед любым желающим двери 3 миллионов автомашин по всему миру

Подписываемся, следим @CyberAgency

Related Post

Mist, самый популярный эфирный браузер, может угрожать конфиденциальности ключей, сообщается в блоге Ethereum Foundation

Опубликовано - 18.12.2017 0
Угроза возникает из-за недавно обнаруженной уязвимости, которую можно классифицировать как «высокую степень серьезности» и которая влияет на все существующие версии…

Китайские хакеры атакуют юристов Австралии

Опубликовано - 04.12.2017 0
Австралийские юридические фирмы, которые хранят конфиденциальную коммерческую информацию клиентов, в последнее время стали одной из любимых целей китайских хакеров, утверждает…