信息來源:hackernews
援引外媒Motherboard報(bào)道,一名黑客成功入侵了兩款GPS定位追蹤應(yīng)用,從而允許讓他監(jiān)控?cái)?shù)萬輛汽車的位置,甚至能夠關(guān)閉部分汽車的引擎。這名叫做L&M的黑客成功入侵了7000多個(gè)iTrack賬號(hào)以及超過20,000個(gè)ProTrack賬戶,這兩款應(yīng)用被用于監(jiān)控和管理車隊(duì)的。該黑客可以跟蹤南非,摩洛哥,印度和菲律賓等少數(shù)國家的車輛。
根據(jù)部分GPS定位追蹤設(shè)備廠商的設(shè)定,如果車輛??炕蛘哕囁俚陀诿啃r(shí)12英里就可以進(jìn)行遠(yuǎn)程關(guān)閉汽車引擎,而黑客在成功入侵之后可以操控擅自關(guān)閉這些汽車引擎。通過對(duì)ProTrack和iTrack的Android應(yīng)用程序進(jìn)行逆向工程,L&M表示所有客戶在注冊(cè)時(shí)都會(huì)獲得默認(rèn)密碼123456。
隨后他使用應(yīng)用的API強(qiáng)行調(diào)取了數(shù)百萬用戶名稱,然后使用定制的腳本使用這些用戶名和默認(rèn)秘密進(jìn)行登陸。這允許他控制了數(shù)萬個(gè)使用默認(rèn)密碼的賬號(hào),并提取了相關(guān)信息。
根據(jù)L&M提交給Motherboard的用戶數(shù)據(jù)樣本來看,黑客從ProTrack和iTrack客戶那里搜集了大量信息,包括他們所使用的GPS跟蹤設(shè)備的名稱、型號(hào)、設(shè)備的唯一ID號(hào)(技術(shù)上稱為IMEI號(hào)碼);用戶名,真實(shí)姓名,電話號(hào)碼,電子郵件地址和物理地址。
L&M表示他的攻擊目標(biāo)是公司,而不是客戶。正是這些公司的疏忽導(dǎo)致客戶存在安全風(fēng)險(xiǎn),它們只是想要牟利,而并不想要保護(hù)他們的客戶。L&M表示:“我絕對(duì)可以在全球范圍內(nèi)造成大規(guī)模的交通事故。我已經(jīng)控制了上萬輛汽車,只要我點(diǎn)擊我就可以關(guān)閉他們的汽車引擎?!钡荓&M表示從未關(guān)閉過汽車引擎,因?yàn)樗J(rèn)為這樣太危險(xiǎn)了。
雖然黑客沒有證明他能夠關(guān)閉汽車引擎,但是Concox(ProTrack GPS和iTrack的GPS設(shè)備制造商之一)的發(fā)言人向Motherboard確認(rèn)如果車輛低于每小時(shí)20公里(大約每小時(shí)12英里),可以遠(yuǎn)程關(guān)閉汽車引擎。根據(jù)黑客提供的截圖,這些應(yīng)用程序具有“停止引擎”的功能。