Auto te ‘kapen’ via gps-toepassing

Gps en beveiliging

Wachtwoord: 123456 (afb: Futura-Sciences)

Via twee gps-toepassingen die bedoeld zijn om een wagenpark te volgen, iTrack en ProTrack, zouden krakers er in geslaagd zijn informatie over de gebruikers te stelen en zouden ze, in principe, van afstand de motor hebben kunnen laten afslaan, met alle (mogelijke) gevolgen van dien voor inzittenden en voertuig.

Het is hier al vaker beweerd: altijd verbonden, altijd link. Een anonieme kraker, die zich L&M noemt, zou achter gebruikersnaam en wachtwoord van 27 000 gebruikers zijn gekomen. Hijzij zou daarmee de controle kunnen hebben overnemen over honderdduizenden voertuigen over de hele wereld, maar vooral in Zuid-Afrika, Marokko, India en de Filipijnen.
Het ‘lek’ zit in twee gps-toepassingen: iTrack en
ProTrack
. Het probleem zit hem niet in de code van de toepassing, maar in de standaardaanmelding. De toepassingen genereren een toegangscode die vervolgens niet door de gebruiker werd veranderd (eigen schuld, dikke bult). Iets soortgelijks gebeurde er bij betaalpasjes voor brandstof in Frankrijk.
L&M gebruikte de API van de twee programma’s (een API definieert de manier waarop een programma omgaat met andere programma’s) om miljoenen gebruikersnamen te genereren. Vervolgens maakte hij een eenvoudig progje om die te combineren met het standaardwachtwoord 123456. Daarmee kreeg hijzij toegang tot 7000 gebruikersprofielen bij iTRack en 20 000 bij ProTrack. De twee toepassingen gebruiken vergelijkbare gebruikersschermen en hetzelfde standaardwachtwoord en zijn waarschijnlijk gestoeld op dezelfde broncode.

Hijzij kreeg toegang tot een hoop informatie zoals merk en model van het voertuig de IMEI van het navigatiesysteem (het ‘identiteitsnummer’), namen, telefoonnummers, @dressen en zelfs postadressen. Dat is op zich al pijnlijk, maar de kraker beweert ook de controle over honderdduizenden auto’s te hebben kunnen overnemen en hijzij zou met een simpele handeling de motoren hebben kunnen uitschakelen.

Uitschakelen

De toepassingen bieden inderdaad de mogelijkheid de motor van de auto op afstand uit te schakelen, maar dan moet de wagen langzamer rijden dan 20 km/u. Volgens L&M is het de makers van de toepassingen in de eerste plaats te doen om het geld. “Mijn doelwitten zijn de bedrijven niet de klanten.” Die bedrijven zouden lak hebben aan beveiliging. De krakersstek Motherboard schijnt direct contact gehad te hebben met L&M. Motherboard heeft ook contact gehad met de makers van de gps-toepassingen. Volgens ProTack klopte de informatie niet, maar het bedrijf heeft de gebruikers wel aangeraden hun wachtwoord te veranderen. iTrack reageerde niet.

Bron: Futura-Sciences

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.