Следующая новость
Предыдущая новость

Баги в «умных» автосигнализациях могли стать причиной угона

11.03.2019 13:42
Баги в «умных» автосигнализациях могли стать причиной угона

Рекомендуем почитать:

Xakep #239. Вскрыть и изучить

  • Содержание выпуска
  • Подписка на «Хакер»

Эксперты Pen Test Partners изучили «умные» автосигнализации компаний Viper (известна под брендом Clifford в Великобритании) и Pandora. Заняться исследованием противоугонных систем специалистов, в числе прочего, побудило заявление, опубликованное на сайте Pandora: там компания называла свои умные продукты «невзламываемыми» (в настоящее время это громкое заявление уже было удалено с сайта).

Баги в «умных» автосигнализациях могли стать причиной угона

В своем отчете специалисты Pen Test Partners пишут, что Viper и Pandora ненамеренно подвергали риску угона более 3 000 000 транспортных средств, использующих их продукты. Практически сразу исследователи обнаружили, что API производителей уязвимы из-за использования небезопасных прямых ссылок на объекты, и просто подменяя параметры атакующий без аутентификации способен сменить email-адрес, привязанный к аккаунту, отправить на этот измененный адрес запрос на смену пароля, а после захватить контроль над учетной записью. Причем такие аккаунты могут иметь не только покупатели уязвимых продуктов, Viper и Pandora также предоставляют желающим бесплатные демо.

В итоге хакер получает возможность узнать модель машины и информацию о ее владельце; может отслеживать транспортное средство в режиме реального времени; может отключить сигнализацию и разблокировать авто; завести или заглушить двигатель; включить или выключить иммобилайзер. Также в некоторых случаях злоумышленник может быть способен заглушить двигатель автомобиля прямо во время движения и подслушивать свою жертву через микрофон. Кроме того, по словам исследователей, в связке с Mazda 6, Range Rover Sport, Kia Quoris, Toyota Fortuner, Mitsubishi Pajero, Toyota Prius 50 и RAV4 API автосигнализаций имеют недокументированную функциональность, и позволяют удаленно регулировать заданную скорость круиз-контроля.

Видеоролик ниже демонстрирует обнаруженные экспертами уязвимости на практике.

В настоящее время все обнаруженные специалистами проблемы уже были устранены, хотя исследователи дали разработчикам Viper и Pandora всего неделю на исправление багов.

Источник

Последние новости