요약
- 취약점 : GPS 추적 앱에 취약점이 존재해 자동차 도난 초래 및 일부 작동중인 차량의 엔진을 끌 수 있음.
초기 비밀번호를 통해 다수의 계정에 대한 접근 및 정보 유출 가능.
(Google Play 앱스토어에 제공되는 데모 버전의 초기 비밀번호가 123456이며, API 비밀번호가 123456임을 설명서에 명시되어 있음)
- 취약 앱 : iTrack, ProTrack
*ProTrack : 웹 기반 GPS 추적 전문 소프트웨어. 실시간 추적 서비스를 차량 소유주에게 제공하는 소프트웨어로 전세적으로 널리 사용 되고 있음
(iTryBrand Technology(중국 선전)회사 제조 )
*iTrack : GPS 추적 보안 시스템, 차량 추적 시스템, 차량 보호, 차량 관리 시스템을 제공하는 앱 (SEEWORLD(중국 광저우)회사 제조)
*iTryBrand 와 SEEWORLD회사는 추적장비 하드웨어와 사용자가 직접 관리 할 수 있는 클라우드 플랫폼을 함께 판매함.
- 테스트 과정:
(1) 취약점 발견자(가칭 L&M)에 따르면 GPS 추적 장치를 통해 차량을 관리할 수 있는 약 7000개의 iTrack 계정과 20,000개의
ProTrack 계정 해킹에 성공했다고 밝힘
(2) 앱의 API를 통해 유저네임 및 초기 번호(123456, 계정 생성 시 부여받는 비밀번호) 이용 Brute-force 방법으로 접근 성공.
일부 배포사의 계정 접근에도 성공
(3) 접근 성공으로, 남아프리카, 모로코, 인도, 필리핀 등의 세계 각지의 차량에 추적할 수 있다고 주장.
(4) 테스트에 사용한 GPS 장비 이름, 모델, 장비 일련번호(IMEI번호), 유저네임, 아이디 소유주 이름, 전화번호, 이메일주소,
주소 등의 정보 또한 얻을 수 있었다고 함.
(이를 토대로 Motherboard지는 4명의 실제 앱 사용자에게 연락을 취해 테스트 성공 여부를 확인)
(5) 실제 자동차 엔진을 끄거나 어떻게 구현이 가능한지는 밝히지 않음
- GPS 추적 장비 제조사 Concox에 따르면 추적 앱 사용자들은 20km/h 이하의 속도로 주행 시 원격으로 엔진을 끌 수 있다고 밝힘.
- ProTrack 앱 사용 회사인 남아프리카회사 Probotik System의 대표는 엔지니어가 추적 장비를 설치 시 ‘엔진 끄기 기능’을 ‘사용 가능’으로
설정할 시 공격이 가능하다고 밝힘.
- 대응 : ProTrack은 이메일을 통해 데이터 유출에 대해 부인했으나, 사용자들에게 비밀번호를 바꾸도록 권고함.
Google Play 앱스토어에서 데모 앱을 다운받을 시 비밀번호를 변경하라는 안내메시지를 현재 추가한 상탬.
참고자료
출처 : https://motherboard.vice.com/amp/en_us/article/zmpx4x/hacker-monitor-cars-kill-engine-gps-tracking-apps
https://gbhackers.com/gps-tracking-apps/
'Vulnerability' 카테고리의 다른 글
| [2019.05.14] Thrangrycat – Cisco Secure Boot Hardware 변조 취약점 (CVE-2019-1649) (0) | 2019.05.14 |
|---|---|
| [2019.05.10] Cisco Elastic Service Controller REST API 인증우회 취약점(CVE-2019-1867) (0) | 2019.05.10 |
| [2019.04.29] WebLogic RCE 제로데이 취약점(CVE-2019-2725) (0) | 2019.04.29 |
| [2019.04.16] Apache Tomcat 원격 코드 실행 취약점 (CVE-2019-0232) (0) | 2019.04.16 |
| [2019.04.02] Elasticsearch 데이터베이스를 노출하는 Kibana 인스턴스 다수 존재 (0) | 2019.04.02 |