Журналисты издания Vice Motherboard рассказали, что хакер, представившийся как L&M, сообщил им о взломе почти 30 000 аккаунтов в двух Android-приложениях для GPS-мониторинга: iTrack (7000 учетных записей) и ProTrack (20 000 учетных записей).
В результате взломщик получил доступ не только к информации о местоположении чужих машин, но и возможность контролировать некоторые их функции. Так, в некоторых автомобилях можно даже удаленно заглушить двигатель, если машина движется со скоростью 20 километров в час или медленнее.
Эти приложения вместе с отслеживающими GPS устройствами широко используются во многих странах мира. Например, L&M скомпрометировал аккаунты в Южной Африке, Марокко, Индии, на Филиппинах.
Все началось с того, что L&M отреверсил код ProTrack и iTrack, и обнаружил, что во время регистрации в приложениях всем пользователям по умолчанию присваивается пароль «123456», который затем можно поменять. Применив к API приложений брутфорс, хакер собрал миллионы юзернеймов, а затем написал простой скрипт, который перебирал эти имена пользователей и пытался войти в учетные записи, используя дефолтный пароль. Итогом стала успешная компрометация почти 30 000 аккаунтов.
В распоряжении L&M оказались названия и модели GPS-устройств, их уникальные ID (если точнее, IMEI), имена пользователей, ФИО, телефонные номера, email-адреса и почтовые адреса. При этом хакер признается, что полная информация была доступна далеко не обо всех пользователях. Журналисты Motherboard убедились в правоте слов L&M, связавшись с несколькими пользователями взломанных учтенных записей, и те подтвердили, что предоставленная взломщиком информация была верна.
«Моей целью была компания, а не ее клиенты. Клиенты подвергаются риску из-за компании. Компания хочет делать деньги, но не желает заботиться о безопасности своих пользователей», — объяснил L&M журналистам.
Также хакер рассказал, что с полученным доступом, он мог бы создать крупные проблемы на дорогах во многих городах мира. Дело в том, что L&M получил возможность не просто шпионить за пользователями и их машинами, но и управлять некоторыми автомобилями удаленно. По его словам, таких доступных машин насчитывается несколько тысяч.
Эти заявления взломщика подтвердили представители компании Concox, которая разрабатывает устройства, совместимые с ProTrack и iTrack. Они сообщили, что заглушить двигатель автомобиля удаленно действительно возможно, если авто движется со скоростью не более 20 км/ч. То же самое говорят и специалисты южноафриканской компании Probotik Systems, которая работает с ProTrack. Они объясняют, что возможность заглушить двигатель удаленно доступна в том случае, если ее активировали при установке GPS-девайса.
На скриншоте ниже в интерфейсе приложения действительно можно увидеть опцию stop engine («заглушить двигатель»).
Приложение ProTrack разрабатывает китайская компания iTryBrand Technology, тогда как за созданием iTrack стоит другая китайская фирма, SEEWORLD. Обе компании также занимаются продажей аппаратных решений и имеют облачные платформы, через которые их продуктами могут напрямую управлять как сами пользователи, так и компании, занимающиеся продажей оборудования и услуг. L&M утверждает, что также взломал некоторые учетные записи таких дистрибьюторов.
Журналисты Motherboard отмечают, что iTrack рекламирует бесплатный демо-аккаунт с именем Demo и паролем 123456 прямо на своей странице в Google Play. ProTrack тоже предоставляет потенциальным клиентам бесплатную демо-версию на своем сайте. И если на прошлой неделе журналисты опробовали демо и не увидели никаких предупреждений, то теперь на сайте появляется предложение сменить пароль, потому что текущий слишком прост.
Хуже того, в документации для API ProTrack тоже встречается упоминание пароля 123456 по умолчанию, и приложения, похоже, строятся на базе одного и того же исходного кода.
На этой неделе представители ProTrack попросили всех своих пользователей сменить пароли (пока не в принудительном порядке). При этом в компании отрицают факт компрометации и заявляют, что смена паролей – это обычная практика и нормальный способ обеспечения безопасности аккаунтов. Разработчики iTrack, в свою очередь, пока хранят молчание.
L&M утверждает, что он уже связывался с представителями ProTrack и попросил у компании вознаграждение за обнаруженную брешь. Он показал журналистам отрывки переписки, на которых видно, как разработчики просят хакера снизить цену, а также задают вопросы: «Если мы заплатим, вы предоставите нам инструмент и больше не будете взламывать наш аккаунт? Как мы можем быть в этом уверены? Простите за такое количество вопросов, но мы впервые сталкиваемся с подобной катастрофой».
Хакер резюмирует и говорит, что уже получил, что хотел:
«После моей атаки (sic) они предупреждены, и для меня это успех. Вынудить их позаботиться о безопасности. Теперь они знают, что их клиенты подвергаются риску, а значит, начали уделять безопасности своих сервисов чуть больше внимания».
