“追踪器”APP安全漏洞 黑客可定位全球消防车
【欧洲时报8月9日编译】黑客能访问全球各地消防车的位置数据,单位精确到米,其中包括消防车制造商卢森宝亚(Rosenbauer),而德国联邦国防军是该公司的客户之一。
借助软件定位车辆“半小时内”就发现漏洞
德国电视二台报道,在Instagram上,大多数人可能很容易看到这样一篇帖子:一家消防技术公司为消防车“追踪器”做广告。正如该公司在网站上所说,这种小型设备只要插进打火机,即可提供“实时定位,即使信号覆盖率低”。这篇帖子来自于奥地利公司卢森宝亚。
这家公司被认为是世界上最大的消防车制造商之一,年营业额近十亿欧元,同时还为德国警察提供洒水专用车。此外,该公司还销售组织部门可用来监控其车辆和使车辆互联的软件。
卢森宝亚公司在Instagram上宣传的“追踪器”APP显示一个二维码。“摧毁研究”组织(Zerforschung)的黑客扫描后创建了一个客户帐户并开始分析该应用程序。
“摧毁研究”团队主要是因寻找APP和其他软件中的安全漏洞而闻名。该组织多次成功访问敏感信息,并向人们证明,客户数据往往没有得到充分保护。
该组织成员里希特说,“半小时内”黑客们就注意到他们可以询问位置数据。通常情况下,只有当该人有权查看这些数据时才会显示此类数据,否则就会出现出错报告。但卢森宝亚公司的这种情况,黑客并没获得授权。
全球消防队伍均受影响
“摧毁研究”组织看到了卢森宝亚公司的客户名单,客户使用哪些消防车,以及在许多情况下,它们停在何处,一目了然。
这些客户包括德国联邦国防军、维也纳和柏林消防队,还涉及新加坡、尼泊尔、阿联酋、沙特阿拉伯、摩洛哥、法国等国家,共有150多家客户受到影响。
数据显示,嵌入到车辆中的设备也受到影响并因此可被实时跟踪。此外,该公司与大疆创新公司合作的已被集成到其监控系统中的无人机也可以被定位。
当关键性基础设施遭受网络攻击的危险警告愈演愈烈时,数据泄露也随之公之于众。卢森宝亚公司宣传车辆互联并承诺可以更好地控制运营,更轻松地管理车队。但如果未经授权的人也能访问数据,会有什么后果?
格尔林是卡巴斯基公司的信息技术安全专家,也是一支消防队的技术运营负责人。他证实了“摧毁研究”组织的结论。数据是最新的,并且位置与真实位置一致。
面对质问,卢森宝亚公司承认犯了一个错误,使得“暂时获取消防车的时间和停靠地点”成为可能,并表示,已纠正该错误并且没有丢失任何客户数据。