“弱密码”让黑客监视控制全球上万辆汽车

近期，Motherboard（互联网资讯网站）了解到，有一名黑客入侵了两个GPS跟踪app的数千个帐户，这使他能够监控成千上万辆汽车的位置，甚至在某些情况可以关闭其中一些汽车的引擎。

这位名叫L&M的黑客告诉Motherboard，他已经侵入了7000多个iTrack帐户以及20000多个ProTrack帐户，这两个app都是通过GPS跟踪设备来监控和管理汽车的。在入侵了这些帐号后，该黑客能够跟踪世界上少数几个国家的车辆，包括南非，摩洛哥，印度和菲律宾。而根据某些GPS跟踪设备制造商的说法，对于某些汽车，该软件能够在时速低于12英里的情况下关闭汽车的发动机。

通过对ProTrack和iTrack的app进行逆向，L&M表示他发现到所有客户在注册时都会获得默认密码123456。

于是，他通过app的某个API抓取了“数百万用户名”，再配合默认密码，用脚本进行批量登录。

最终，他成功登录数千个使用默认密码的帐户。

根据L&M展示给Motherboard的用户数据，L&M从ProTrack和iTrack的那些用户中搜集了大量信息，包括：所使用的GPS跟踪设备的名称和型号，设备的唯一ID号（也可称为IMEI号），用户名，真实姓名，电话号码，电子邮件地址和物理地址。（根据L&M的说法，他并不能获得所有用户的以上所有信息）

Motherboard对L&M提供数据中的其中四个用户进行了交谈确认，证明了数据的有效性。

L&M表示：“我的目​​标是公司，而不是个人。这些公司不在乎客户安全，只想着赚钱，这让大量普通人都面临危险”。

L&M还声称监控车辆并不是最坏的情况。

“我绝对可以在全世界范围内制造交通事故，我完全控制了成千上万的车辆，只要点击一个按钮，就可以瞬间熄灭这些车辆发动机。”

当然，他同时表示他从未这样做，因为这太危险了。虽然该黑客没能证明他能够关闭汽车引擎，但是Concox的对外代表，ProTrack和iTrack的用户所使用GPS跟踪设备的制造商之一，向Motherboard表示如果客户车辆的时速低于每小时20公里（大约每小时12英里），就可以远程关闭发动机。

根据黑客提供的截图，这些app是具有“停止引擎”这一功能的。

一家使用了ProTrack的南非公司的代表Rahim Luqmaan在与Motherboard的通话中表示，如果技术人员在安装GPS跟踪设备时启用了该功能，则可以使用ProTrack来关闭汽车引擎。

Luqmaan在谈到这起事件时，表示这确实引发了不小的混乱。

ProTrack是由位于中国深圳的iTryBrand Technology公司制造的。而iTrack是由位于中国广州的SEEWORLD公司制造的。iTryBrand和SEEWORLD同时都在销售GPS跟踪设备和相关的管理云平台。L&M也表示进入了一些经销商的帐户，看到了很多车辆和人员信息。

在Google Play的页面上，iTrack的视频演示使用了用户名为“Demo”和密码为“123456”的帐户。ProTrack则在其自身网站上为客户提供了演示视频。而在本周，当Motherboard观看演示时，网站提示用户在实际使用中需要更改密码，因为“默认密码太简单了”。而在上周，这个提示还不存在。此外，ProTrack的相关文档也提到了默认密码“123456” 。

从两个app的用户界面来看，ProTrack和iTrack似乎使用相同的底层代码。

L&M表示，ProTrack已经通过app和电子邮件联系客户，要求他们在本周更改密码，但这并不是强制的。

ProTrack通过电子邮件向Motherboard表示并不存在数据泄露事件，但承认确实提示用户更改密码。其公司代表表示，提示客户更改密码只是一种日常的安全维护措施，外界请勿过多解读。

iTrack则暂时还没有对此事件发表评论。

L&M也联系了上述公司希望得到漏洞奖励。但ProTrack表示只能接受一个较低的价格。

“如果我们付给你钱，你就不会再入侵我们的账户？我们如何确定这一点？”........“很抱歉问了太多问题，这是我们第一次遇到这种事”。

L&M拒绝透露更多互动信息。但他说他得到了想要的。

L&M表示：“他们现在知道他们的客户有很大的安全风险，他们现在正把重点放在如何确保他们的客户的安全性上”。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://motherboard.vice.com/en_us/article/zmpx4x/hacker-monitor-cars-kill-engine-gps-tracking-apps