Chiamata di un prodotto “intelligente” e “unhackable’ non rendere magicamente così, come due dei maggiori fornitori di auto allarmi in tutto il mondo hanno scoperto.
Viper-noto come Clifford nel Regno Unito-e Pandora Sistema di Allarme dell’Automobile, che si rivolgono per almeno tre milioni di clienti tra di loro, è recentemente diventata l’argomento di interesse per i ricercatori dalla Penna di Test Partner.
Venerdì, la sicurezza informatica, i ricercatori hanno pubblicato i loro risultati nel vero stato di sicurezza di questi cosiddetti smart allarmi e li ha trovati caduta tristemente a corto di venditori nel settore.
Non solo potrebbe compromettere la smart allarmi risultato in base al tipo di veicolo e del proprietario di dettagli per essere rubato, ma l’auto può essere sbloccato, l’allarme per disabili, veicolo cingolato, microfoni compromessa, e l’immobilizzatore per essere dirottato.
In alcuni casi, gli attacchi cibernetici e può anche causare il motore della vettura di essere ucciso durante l’uso, in uno scenario del mondo reale, può provocare lesioni gravi o morte.
Entrambe le società rivendicato i loro prodotti “smart” e Pandora è andato fino a dire che la sua smart sistemi di allarme sono stati “unhackable.” (Questa affermazione è stato, da allora, si tolse il sito web del fornitore.)
Penna Test Partner
Come mostrato nel video qui sotto, così audaci affermazioni solo invogliare esperti di sicurezza informatica per dimostrare che è sbagliato.
Ciò che rende la situazione ancora peggiore è come sia stato facile per Pen Test Partner per confutare questi alti dichiarazioni.
La scoperta di semplice, relativamente semplice vulnerabilità nei prodotti’ API, noto come insicuro diretti riferimenti a oggetti (IDORs), ha permesso ai ricercatori di manomettere i parametri del veicolo, reimpostare le credenziali dell’utente, dirottare i conti, e di più.
In una Vipera caso, una società di terze parti chiamato CalAmp fornisce il sistema back-end. Una falla di sicurezza nel ‘modifica utente’ API parametro conduce alla convalida errata, che a sua volta consente agli aggressori di compromettere gli account utente.
Il team di ricerca ha scoperto che lo stesso problema potrebbe essere utilizzato per compromettere il motore del sistema.
Vedi anche: Come case automobilistiche stanno affrontando collegato veicolo di gestione delle vulnerabilità
“Video promozionali da Pandora, indicano che questo è possibile, anche se non sembra essere al lavoro sulla nostra auto, la” Penna Test Partner, ha detto. “L’intento è quello di fermare un veicolo rubato. Tranne che con l’account di acquisizione di vulnerabilità nell’applicazione per dispositivi mobili, si potrebbe uccidere il motore di qualsiasi tipo di auto, dotate di questi allarmi. La funzionalità non presenti nell’Viper mobile app UI, ma è stata sostenuta nell’API.”
Quando si tratta di Pandora, la IDOR è basato su un POST di richiesta, che risulta anche in considerazione di compromesso, di fianco a notevoli perdite di dati. C’era un altro vettore di attacco di interesse in questo prodotto, basato su Pandora allarme possibilità di effettuare chiamate SOS in caso di emergenza.
Per inviare grida di aiuto, l’allarme è dotato di un microfono — e a causa delle API falla di sicurezza, questo componente può essere letta e attivato in remoto per snooping scopi.
CNET: Facebook Messenger bug rivelato che hai avuto conversazioni con
Data la gravità di questi problemi di sicurezza e i tre milioni di clienti potenzialmente interessati, Penna Test Partner scelto di rinunciare al proprio standard di 90 giorni per la divulgazione periodo in favore di una settimana.
A loro credito, Pandora e la Vipera ha prontamente reagito ed è riuscito a risolvere i problemi Api entro il periodo di tempo.
La lezione qui è che, nonostante la mancanza di prove che gli attacchi del mondo reale sono in corso contro i proprietari di veicoli, potrebbe essere solo una questione di tempo prima che i problemi di sicurezza nelle nostre auto connesse diventare un rischio per la sicurezza del conducente.
TechRepublic: Termite e Lombrico strumento di test di un’arma per creare un multi-piattaforma di botnet
Cybersecurity non è una cosa da ridere e qualsiasi azienda che sostiene di offrire “unhackable” dispositivi è solo aprendosi alla beffa — ma, piuttosto, di un futuro querela quando una mancanza di rispetto della sicurezza diligenza risultati in incidenti o lesioni.
“Ci si aspetterebbe che un produttore di allarmi, progettato per rendere i nostri veicoli più sicuri, avrebbe effettuato un grado di due diligence prima di prendere i loro prodotti al mercato,” i ricercatori hanno concluso. “Questi allarmi non aggiungere qualsiasi ulteriore sicurezza per la protezione contro tasto attacchi di inoltro, e prima erano fissi hanno esposto i proprietari di ulteriori attacchi e a compromettere la loro sicurezza.”
Precedente e relativa copertura
Il più interessante connessi a Internet, veicolo hack su record
Quanto è sicura la tua auto? Unpatchable difetto consente agli aggressori di disattivare funzioni di sicurezza
VW-Audi di sicurezza: Più di infotainment difetti potrebbero dare agli aggressori remoti di accedere
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati