Att kalla en produkt som “smart” och “unhackable’ inte magiskt att göra det så, som två av de största leverantörer av billarm i världen har nu fått reda på.
Viper — känd som Clifford i storbritannien — och Pandora Bilens larmsystem, som tillgodoser minst tre miljoner kunder mellan dem, som nyligen blev det ämne av intresse för forskare från Pen-Test Partner.
På fredag, it-forskare publicerade sina fynd i den sanna säkerhet hållning av dessa så kallade smarta larm och hittade dem faller bedrövligt korta av leverantörer yrkanden.
Inte bara kan äventyra smart larm resultera i den typ av fordon och ägarens uppgifter om att bli stulna, men bilen kan låsas upp, larm funktionshindrade, bilen spårade, mikrofoner äventyras, och startspärr att kapas.
I vissa fall, it-angrepp kan också resultera i bil motor dödas under användning, som i ett verkligt scenario skulle kunna resultera i allvarliga skador eller dödsfall.
Båda företagen hävdade att deras produkter var “smart” och Pandora gick så långt som att säga att dess smarta larmsystem var “unhackable.” (Detta påstående har sedan dess blivit piskad av leverantörens webbplats.)
Penna Test Partners
Som visas i videon nedan, så djärva påståenden kommer bara att locka it-experter för att bevisa att du har fel.
Vad som gör situationen ännu värre är hur lätt det var för Penna Test Partners för att vederlägga dessa högstämda uttalanden.
Upptäckten av enkla, relativt enkla säkerhetsproblem i de produkter’ API, känd som osäker direkt objekt referenser (IDORs), tillåtit forskare att mixtra med fordonet, återställa autentiseringsuppgifter, kapa konton och mycket mer.
I Viper är fallet, ett tredje parts företag som heter CalAmp ger back-end system. En säkerhetsbrist i “ändra användare” API parameter leder till felaktig validering, vilket i sin tur tillåter angripare att kompromettera användarkonton.
Forskargruppen fann att samma fel kan användas för att äventyra bilens motor-system.
Se även: Hur biltillverkare att ta itu anslutna fordon sårbarhetsanalyser
“Pr-videor från Pandora visar att detta är möjligt också, även om det inte verkar fungera på vår bil,” Penna Test Partner sagt. “Avsikten är att stoppa en stulen bil. Utom, med hänsyn övertagande sårbarhet i den mobila app, man kan döda motorn i en bil utrustad med detta larm. Den funktionalitet som inte var närvarande i Viper mobil app UI, men fick stöd i API.”
När det kommer till Pandora, IDOR är baserad på en POST-begäran som också leder till att ett konto kompromiss, tillsammans med betydande för informationsläckage. Det var ett angrepp av intresse i denna produkt, också baserat på Pandora larm förmåga att göra SOS-samtal i nödsituationer.
För att skicka ut ett rop på hjälp, larmet är utrustat med en mikrofon — och på grund av API security fel, denna komponent kan öppnas och aktiveras på distans för att spionera ändamål.
CNET: Facebook Messenger bugg visade vem du haft samtal med
Med tanke på svårighetsgraden av dessa problem med säkerhet och tre miljoner kunder potentiellt påverkade, Penna Test Partner valde att skrota sin standard 90-dagars utlämnande perioden till förmån för en vecka.
Till sin kredit, Pandora och Viper svarade snabbt och lyckades fixa utsatta Api: er inom den tid som erbjuds.
Lärdomen här är att trots bristen på bevis för att verkliga attacker sker mot fordonets ägare, det kan bara vara en tidsfråga innan säkerheten brister i vår uppkopplade bilar bli en fara för trafiksäkerheten.
TechRepublic: Termit och Daggmasken testverktyg weaponized att skapa multi-plattform botnet
It-säkerhet är inte en att skratta åt och alla företag som påstår sig erbjuda “unhackable” enheter är bara att öppna upp sig själv till åtlöje — men hellre det, än en framtida rättegång när en brist på säkerhet diligence resulterar i olyckor eller skador.
“Man skulle förvänta sig att en tillverkare av larm, syftar till att göra våra fordon säkrare, skulle ha genomfört en grad av due diligence innan man tar sina produkter till marknaden,” forskarna drog slutsatsen. “Dessa larm inte lägga någon ytterligare säkerhet för att skydda mot viktiga relä attacker, och innan de var fast de faktiskt utsätts för ägare till ytterligare angrepp och bristande säkerhet.”
Tidigare och relaterade täckning
Den mest intressanta Internet-anslutna fordon hacka på skiva
Hur säker är din bil? Unpatchable fel låter angripare inaktivera säkerhetsfunktioner
VW-Audi säkerhet: Flera infotainment brister kan ge angripare fjärråtkomst
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter