At kalde et produkt for “smart” og “unhackable’ ikke på magisk vis gør det så, som to af de største leverandører af bil alarmer i verden har nu fundet ud af.
Viper-kendt som Clifford i det Forenede Kongerige — og Pandora Bil Alarm System, der henvender sig til mindst tre millioner kunder, mellem dem, der for nylig blev det emne af interesse for forskere fra Pen-Test Partnere.
På fredag, den cybersecurity forskere offentliggjort deres resultater i det sande sikkerhedssituation af disse såkaldte intelligente alarmer og fandt dem falder sørgeligt kort af sælgere hævder.
Ikke kun kunne gå på kompromis med de intelligente alarmer resultere i et køretøj og ejerens detaljer for at blive stjålet, men kan bilen låses op, alarmen deaktiveres, og bilen spores, mikrofoner kompromitteret, og det startspærre at blive kapret.
I nogle tilfælde, cyberangreb kan også resultere i bilens motor er blevet dræbt under brug, som i en real-world scenario, kan det resultere i alvorlig skade eller død.
Begge selskaber hævdede, at deres produkter var “smart,” og Pandora gik så langt som til at sige, at dens smart alarm systemer var “unhackable.” (Denne påstand er siden blevet pisket fra leverandørens hjemmeside.)
Pen Test Partnere
Som vist i videoen nedenfor, sådanne dristige påstande, der kun vil lokke cybersecurity eksperter til at bevise, at du forkert.
Hvad gør situationen endnu værre er, hvor let det var for Pen Test Partnere for at tilbagevise disse vidtløftige erklæringer.
Opdagelsen af enkel, forholdsvis ligetil sårbarheder i produkter’ API, der er kendt for at være usikre direkte objekt referencer (IDORs), tillod forskerne at manipulere med køretøjets parametre, skal du nulstille brugerens legitimationsoplysninger, kapre konti, og meget mere.
I Viper ‘ s tilfælde, en tredje-parts selskab kaldet CalAmp giver back-end system. Et sikkerhedshul i ‘rediger bruger’ API parameter fører til ukorrekt validering, som til gengæld tillader hackere at gå på kompromis brugerkonti.
Forskerholdet fandt, at de samme fejl vil kunne bruges til at kompromittere køretøjets motor system.
Se også: Hvordan bilproducenter er ved at tackle forbundet køretøj sårbarhed management
“Salgsfremmende videoer fra Pandora angive dette er muligt, også selvom det ikke ser ud til at være arbejde på vores bil,” Pen Test Partnere sagde. “Hensigten er at stoppe en stjålet bil. Bortset fra, ved hjælp af den konto, overtagelse sårbarhed i den mobile app, man kunne dræbe motoren i en bil monteret med disse alarmer. Funktionaliteten var ikke til stede i den Viper mobile app UI, men blev støttet i API ‘ en.”
Når det kommer til Pandora, IDOR er baseret på en POST-anmodning, som også resulterer i betragtning kompromis, sammen med omfattende data lækager. Der var endnu et angreb af interesse i dette produkt, er også baseret på Pandora alarm evne til at gøre SOS-opkald i tilfælde af en nødsituation.
For at sende et råb om hjælp, alarmen er udstyret med en mikrofon, — og det skyldes API sikkerhed fejl, og denne komponent kan læses og aktiveret udefra for snooping formål.
CNET: Facebook Messenger fejl afsløret, hvem du havde samtaler med
I betragtning af alvoren af disse problemer med sikkerheden, og de tre millioner kunder, der potentielt påvirket, Pen-Test Partnere valgte at skrotte sin standard 90-dages offentliggørelse periode til fordel for en uge.
Til deres kredit, Pandora og Viper reagerede hurtigt, og det lykkedes at lave den sårbare Api ‘ er inden for den tid periode på tilbud.
Lektien her er, at på trods af manglende beviser på, at den virkelige verden angreb sted mod ejere af køretøjer, kan det kun være et spørgsmål om tid, før sikkerhedshuller i vores forbundet biler bliver en risiko for, at føreren sikkerhed.
TechRepublic: Termit og Regnorm test af weaponized til at skabe multi-platform botnet
Cybersecurity er ikke at spøge med, og enhver virksomhed, der hævder at tilbyde “unhackable” – udstyr, der kun åbner sig op til hån-men hellere det, end en kommende retssag, når en mangel på sikkerhed flid resulterer i ulykker eller personskade.
“Man kunne forvente, at en producent af alarmer, der er designet til at gøre vores biler mere sikker, ville have foretaget en grad af due diligence forud for at tage deres produkter til markedet,” de forskere, der er indgået. “Disse alarmer ikke tilføje nogen ekstra sikkerhed for at beskytte mod centrale relæ angreb, og før de blev fastsat, at de faktisk udsættes ejerne til yderligere angreb og fare for deres sikkerhed.”
Tidligere og relaterede dækning
De mest interessante Internet-tilsluttede køretøj, hacks på rekord
Hvor sikker er din bil? Unpatchable fejl lader angribere deaktivere sikkerhedsfunktioner
VW-Audi sikkerhed: Flere infotainment fejl kunne give hackere fjernadgang
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre