______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Баги в «умных» автосигнализациях могли стать причиной угона

Эксперты Pen Test Partners изучили «умные» автосигнализации компаний Viper (известна под брендом Clifford  в Великобритании) и Pandora. Заняться исследованием противоугонных систем специалистов, в числе прочего, побудило заявление, опубликованное на сайте Pandora: там компания называла свои умные продукты «невзламываемыми» (в настоящее время  это громкое заявление уже было удалено с сайта).

В своем отчете специалисты Pen Test Partners пишут, что Viper и Pandora ненамеренно подвергали риску угона более 3 000 000 транспортных средств, использующих их продукты. Практически сразу исследователи обнаружили, что API производителей уязвимы из-за использования небезопасных прямых ссылок на объекты, и просто подменяя параметры атакующий без аутентификации способен сменить email-адрес, привязанный к аккаунту, отправить на этот измененный адрес запрос на смену пароля, а после захватить контроль над учетной записью. Причем такие аккаунты могут иметь не только покупатели уязвимых продуктов, Viper и Pandora также предоставляют желающим бесплатные демо.

В итоге хакер получает возможность узнать модель машины и информацию о ее владельце; может отслеживать транспортное средство в режиме реального времени; может отключить сигнализацию и разблокировать авто; завести или заглушить двигатель; включить или выключить иммобилайзер. Также в некоторых случаях злоумышленник может быть способен заглушить двигатель автомобиля прямо во время движения и подслушивать свою жертву через микрофон. Кроме того, по словам исследователей, в связке с Mazda 6, Range Rover Sport, Kia Quoris, Toyota Fortuner, Mitsubishi Pajero, Toyota Prius 50 и RAV4 API автосигнализаций имеют недокументированную функциональность, и позволяют удаленно регулировать заданную скорость круиз-контроля.

Видеоролик ниже демонстрирует обнаруженные экспертами уязвимости на практике.

В настоящее  время все обнаруженные специалистами проблемы уже были устранены, хотя исследователи дали разработчикам Viper и Pandora всего неделю на исправление багов.

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх