«Невзламываемые» противоугонные сигнализации развязывают руки угонщикам

В «умных» противоугонных сигнализациях Viper и Pandora Car Alarm System обнаружены серьезные уязвимости.

Производители смарт-устройств должны запомнить: добавление к названию продукта эпитета «невзламываемый» еще не делает его таковым. Ярким примером являются «умные» противоугонные сигнализации от двух крупнейших производителей Viper и Pandora Car Alarm System, на деле оказавшиеся не такими уж «умными».

Специалисты компании Pen Test Partners протестировали противоугонные сигнализации Viper и Pandora Car Alarm System и пришли к неутешительным выводам. Компрометация систем позволяет не только похитить данные о транспортном средстве и его владельце, но также открыть автомобиль, отключить сигнализацию, скомпрометировать микрофоны, отключить иммобилайзер и отслеживать передвижение автомобиля. В некоторых случаях злоумышленники также могут вывести из строя мотор во время его работы и тем самым спровоцировать аварию, результаты которой могут оказаться фатальными.

И Viper, и Pandora Car Alarm System позиционируют свои противоугонные сигнализации как смарт-системы, а Viper еще и называет их «невзламываемыми» (сейчас это слово уже удалено с сайта производителя). Тем не менее, команде Pen Test Partners с легкостью удалось доказать обратное. Исследователи обнаружили в API систем простые и очевидные уязвимости, такие как незащищенные ресурсы и объекты (insecure direct object references, IDOR), позволившие им менять настройки, сбрасывать учетные данные пользователей, взламывать учетные записи и многое другое.

Как оказалось во время тестирования, Viper использует бэкенд-систему от сторонней компании CalAmp. Уязвимость в параметре API ‘modify user’ возникает из-за недостаточной проверки данных, благодаря чему атакующий может скомпрометировать учетную запись пользователя. Эта же уязвимость также позволяет скомпрометировать мотор автомобиля.

В случае с Pandora уязвимость IDOR связана с POST-запросами. Ее эксплуатация также может привести к компрометации учетной записи пользователя и утечке данных. Другой вектор атаки – функция вызова экстренной помощи. Работа функции обеспечивается за счет микрофонов, которыми оснащена система сигнализации. Однако из-за уязвимости в API злоумышленники могут удаленно подключиться к микрофону и использовать его для слежки за пользователями.

В связи с опасностью уязвимостей исследователи решили сократить 90-дневный срок, который обычно отводится производителям на выпуск исправления, и раскрыть подробности о своих находках уже через неделю. Надо отдать должное Viper и Pandora Car Alarm System, обе компании успели уложиться в срок.

Источник: securitylab.ru

Вы можете оставить комментарий, или ссылку на Ваш сайт.


Оставить комментарий

Вы должны войти, чтобы иметь возможность оставлять комментарии.