Conocer las ubicaciones de decenas de miles de vehículos y poder apagar los motores de algunos de ellos. Esas son las principales opciones que tendría un ciberdelincuente que quisiera aprovecharse de las vulnerabilidades descubiertas en las aplicaciones de rastreo GPS iTrack y ProTrack, según ha revelado Vice.
Estas plataformas, disponibles a través de la tienda virtual de aplicaciones Google Play, son usadas por las empresas para monitorear y administrar flotas de vehículos mediante dispositivos de rastreo GPS. Las empresas de car sharing suelen apostar por este tipo de aplicaciones para sus flotas.
La voz de alarma la ha dado L&M, un hacker que se dio cuenta del fallo de ciberseguridad en dichas plataformas. Aparte de todo lo anterior, la vulnerabilidad dejaba expuestos datos de los usuarios. Por ejemplo, es posible acceder al nombre y modelo de los dispositivos de rastreo GPS que utilizan, los números de identificación únicos de los dispositivos -técnicamente conocidos como un número IMEI- nombres de usuario, nombres reales, números de teléfono, direcciones de correo electrónico y direcciones físicas.
El hacker pudo rastrear vehículos de todo el mundo, desde Sudáfrica hasta Filipinas. Además, se dio cuenta de que, en algunos casos, era posible apagar el motor de determinados vehículos que estuviesen detenidos o circulando a menos de 20km/h. ¿Cómo consiguió todo esto?
Contraseña muy fácil
El problema está en la contraseña que se les asigna por defecto a todos los clientes de dichas plataformas, que es 123456. Una contraseña muy sencilla y una de las más utilizadas en el mundo, pero con un nivel de seguridad muy bajo debido a su sencillez y que la mayoría de clientes no cambia al utilizar el servicio. El hacker probó a iniciar sesión en las cuentas de los clientes de dichas aplicaciones con esa contraseña predeterminada, y descubrió que pudo acceder a más de 7.000 cuentas de iTrack y más de 20.000 de ProTrack porque no habían cambiado la clave dada por defecto.
En declaraciones a Vice, L&M confirmó que las vulnerabilidades descubiertas podrían causar un gran problema de tráfico en todo el mundo, ya que tenía “el control total de cientos de miles de vehículos” y, con un solo toque, podía detener los motores de estos vehículos.
Además, el hacker aseguró que ProTrack se ha puesto en contacto con los clientes a través de la aplicación para pedirles que cambien su contraseña.
