Hacker knackt Auto-GPS-Tracker: "Ich kann weltweit den Verkehr beeinflussen"

Ein Hacker hat zehntausende Konten der beiden Auto-GPS-Tracker-Apps iTrack und ProTrack geknackt. Die Apps werden sowohl von Privatpersonen zum Schutz ihrer Fahrzeuge als auch von Firmen zum Flottenmanagement verwendet. Wie der Hacker gegenüber dem US-Technikmagazin Motherboard belegte, kann er die Positionen der Autos nachverfolgen und persönliche Informationen der Kunden auslesen – unter anderem Adressen, Telefonnummern, Klarnamen und die Hardware-Identifikationsnummern der verwendeten GPS-Tracker.

Manche der Tracker können ebenfalls dazu verwendet werden, die Motoren der Fahrzeuge auszuschalten, wenn diese stehen oder mit weniger als 20 km/h unterwegs sind. Dem Hacker gelang der Einbruch in die Server-Infrastruktur der beiden Anbieter durch Reverse Engineering der dazugehörigen Smartphone-Apps. So erfuhr er das Standard-Passwort der GPS-Tracker: "123456".

Bei der Sicherheit eklatant versagt

Nutzer von iTrack- oder ProTrack-Systemen sollten nun unbedingt dieses Standardpasswort ändern, falls sie dies nicht schon getan haben. Es könnte durchaus sein, dass der Hacker, der sich L&M nennt, nämlich nicht der einzige ist, der auf die Idee gekommen ist, auf diesem Wege in Konten der beiden Apps einzubrechen. Wie Motherboard berichtet, hat mindestens einer der beiden Hersteller das Standardpasswort in der Vergangenheit in der Online-Dokumentation seiner Apps preisgegeben.

L&M gibt gegenüber Motherboard an, er habe mit einem Skript "Millionen von Nutzerkonten" aus der Server-API von iTrack und ProTrack ausgelesen. Mit dem Wissen um das Standardpasswort war es daraufhin nicht sonderlich schwer, mit einem weiteren Skript automatische Login-Versuche auf alle diese Konten laufen zu lassen. Am Ende hatte der Hacker dann die Kontrolle über zehntausende Nutzerkonten.

Die beiden chinesischen Hersteller SEEWORLD (iTrack) und iTryBrand Technology (ProTrack) haben bei der Sicherheit ihrer Produkte gleich an mehreren Stellen versagt. Zu aller erst sind festeingestellte Standardpasswörter, die der Anwender nicht nach der ersten Benutzung des Gerätes zwingend ändern muss, schon lange nicht mehr zeitgemäß. Ein einziges solches Passwort auf tausenden von Benutzerkonten ist geradezu eine Einladung, von Hackern oder Sicherheitsforschern vorgeführt zu werden. Wenn man dann dieses Standardpasswort auch noch online in der Dokumentation der ganzen Welt verrät, kann man sich fast sicher sein, dass früher oder später jemand wie L&M anklopft.

Darüber hinaus haben die Firmen aber auch ihre Server-Infrastruktur und API nicht richtig abgesichert. So darf es eigentlich nicht möglich sein, automatisiert Tausende oder gar Millionen von Nutzernamen auszulesen, auf die man dann munter Angriffe mittels des Standardpassworts fahren kann.

Es hätte alles viel schlimmer kommen können

Es scheint fast so, als ob die beiden Hersteller noch einmal Glück gehabt hätten, dass L&M lediglich eine Belohnung für den Fund der Sicherheitslücken verlangte und sich ein bisschen mit seinem Triumph brüsten wollte. Gegenüber Motherboard sagte er mit einem Hinweis auf die Motor-Stopp-Funktion der Apps: "Ich kann weltweit den Verkehr beeinflussen." Laut dem Technik-Magazin ist der Hacker im Besitz von Beweisen für eine Mail-Konversation, in der ein Vertreter von ProTrack ihn bat, der Firma doch bitte einen guten Preis für die Bug-Bounty zu machen. "Das ist für uns das erste Mal, dass wir so ein Desaster erleben", so der Sprecher des Herstellers gegenüber dem Hacker. Es hätte auch schlimmer kommen können, wenn ein krimineller Hacker die Konten gehackt und die Hersteller damit erpresst hätte, die Motoren von Autos mit iTrack- und ProTrack-Geräten abzustellen.

Gegenüber Motherboard stritt ProTrack ab, dass der Hack stattgefunden habe, hat aber wohl seine Kunden wenigstens informiert, die festeingestellten Standardpasswörter der Geräte zu ändern. iTrack reagierte auf eine Anfrage des Magazins bisher wohl nicht. Laxe Sicherheitsvorkehrungen, mangelnde Reaktion auf die Offenlegung von Schwachstellen und der Versuch, solche Vorfälle stillzuschweigen sind bei den Herstellern von GPS-Trackern offenbar keine Seltenheit. Seien es fest verbaubare Tracker oder Smartwatches, die Hersteller, die oft billige Massenware aus China importieren und mit zusammengestrickter Server-Infrastruktur auf dem europäischen und amerikanischen Markt verkaufen, interessieren sich meist wenig für die Sicherheitslücken in ihren Produkten. Dass dies bei Geräten vorkommt, die naturgemäß sehr persönliche Positionsdaten verwalten, macht das Vorgehen dieser Firmen noch viel unverständlicher. (fab)