Hacker kann Tausende Fahrzeuge aus der Ferne stilllegen

Ein findiger Sicherheitsexperte mit dem Alias L&M ist in insgesamt rund 27.000 Konten von zwei GPS-Tracker-Apps für Autos und LKW eingedrungen. Das ermöglicht ihm nicht nur, den Aufenthaltsort der Fahrzeuge zu sehen, sondern teilweise auch ihren Motor aus der Ferne stillzulegen. Das berichtet Motherboard, das auch entsprechende Unterlagen als Nachweis bekommen hat.

Konkret geht es um die Apps iTrack und ProTrack. Die Software wird von Unternehmen vorwiegend dazu genutzt, um die eigene Fahrzeugflotte zu verwalten und zu überwachen. Wenn die Autos stehen oder mit weniger als 20 Kilometer in der Stunde unterwegs sind, können die Motoren mithilfe der Apps ganz stillgelegt werden. „Ich kann ein großes Verkehrsproblem auf der ganzen Welt erzeugen“, erklärte der Hacker gegenüber Motherboard.

Vorgehen

Über Reverse-Engineering der Android-Apps stellte der L&M  fest, dass Nutzern standardmäßig das Passwort 123456 zugewiesen wird, wenn sie sich anmelden. Mit diesem Wissen hat er einfach Millionen von Nutzernamen in Kombination mit dem Standard-Passwort automatisiert ausprobiert. Dazu hat der Hacker ein entsprechendes Script geschrieben. Am Ende erhielt L&M so 7.000 funktionierende iTrack- und 20.000 funktionierende ProTrack-Konten.

Neben dem aktuellen Aufenthaltsort kann er auch noch Namen, IMEI-Nummer, Telefonnummern, E-Mail-Adressen und Postadressen der Nutzer einsehen und abgreifen.

Reaktionen

ProTrack hat sich mittlerweile an seine Kunden gewandt und sie aufgefordert, ihr Passwort zu ändern. Gleichzeitig streitet das Unternehmen gegenüber Motherboard ein großflächiges Problem ab. iTrack hat sich bislang zu dem Vorfall nicht geäußert.