Włamanie do urządzeń GPS pozwalające nie tylko na lokalizowanie i śledzenie pojazdów, ale także na… zdalne wyłączanie silnika – brzmi niewiarygodnie? Wygląda jednak na to, że taki atak jest możliwy i to nie tylko na papierze. Wszystko za sprawą kiepskich zabezpieczeń stosowanych przez dwóch dużych producentów nadajników GPS, a konkretniej ich polityki hasłowej. Czy to znaczy, że odtąd musimy liczyć się z zagrożeniem zdalnie wywoływane karamboli?

Zobacz też: Autopilot Tesli S oszukany – wystarczą naklejki, by zjechał na przeciwległy pas

Do redakcji Motherboard zgłosił się w ostatnim czasie haker kryjący się pod pseudonimem L&M, który twierdził, że włamał się na konta ok. 7 tys. użytkowników urządzeń GPS dostarczanych przez firmę iTrack i ponad 20 tys. urządzeń firmy ProTrack. Mowa tu rzecz jasna nie o zwykłych nawigacjach GPS, jakie kupić może sobie każdy w najbliższym markecie z elektroniką, lecz o bardziej zaawansowanych urządzeniach, jakie znajdziemy w firmowych samochodach dostawczych, flotach kurierskich czy autach oferowanych przez wypożyczalnie.

Urządzenia iTrack czy ProTrack nie tyle służą nawigacji, co monitorowaniu samochodów i – w razie konieczności – częściowym przejmowaniu nad nim kontroli. Na stronie polskiego dystrybutora iTrack znajdujemy informacje, że możliwe jest między innymi monitorowanie prędkości, sprawdzenie czasu włączania i wyłączania silnika, mierzenie siły nacisku na pedał gazu, obrotu i prędkości. L&M deklaruje, że uzyskał dostęp do takich danych, jak unikatowe identyfikatory urządzeń, ich modele, nazwy użytkownika, numery telefonów, maile i adresy fizyczne.

Zobacz też: FreedomEV – czy w przyszłości będziemy rootować samochody jak smartfony?

To nie dostęp do wrażliwych danych i możliwość śledzenia lokalizacji pojazdu na bieżąco robi jednak największe wrażenie. L&M utrzymuje, że w określonych warunkach ma możliwość zdalnego wyłączenia silnika. Redakcja Motherboard potwierdziła u jednej z firmy wykorzystujących zdalny dostęp, że GPS-y ProTrack faktycznie mają funkcję, dzięki której zdalne wyłączenie silnika jest możliwe, ale tylko gdy samochód stoi lub porusza się z  prędkością do 20 km/h.

Jak mogło dojść do włamania na taką skalę? L&M dowiedział się, że producenci we wszystkich urządzeniach stosuje domyślne hasło – 123456. Użytkownicy oczywiście proszeni są o jego zmianę po pierwszym uruchomieniu, ale wielu tego nie robi. Znając hasło, L&M za pomocą ataku brute-force zaczął generować loginy i w ten sposób uzyskał dostęp do tysięcy kont. Redakcja Motherboard potwierdziła, że uzyskane przez niego dane odnoszą się do istniejących użytkowników systemów ProTrack i iTrack.

Zobacz też: Tesla Model 3 zhakowana podzas Pwn2Own. Zawiniła luka w Chromium

Haker zaprzecza, jakoby kiedykolwiek użył funkcji zdalnego wyłączania silnika. Jego celem miała być zmiana polityki haseł i po kontakcie z producentami do zmian faktycznie doszło. Jednocześnie rzecznik ProTrack zaprzeczył, że do jakiegokolwiek włamania doszło i zganił dziennikarzy Motherboard za (zakończone powodzeniem) próby weryfikacji informacji, jakich dostarczył L&M.