Appelant un produit “intelligent” et “inviolable” n’a pas la baguette magique pour faire en sorte, comme deux des plus grands fournisseurs de système d’alarme de voiture dans le monde ont maintenant trouvé.
Viper, connues sous le nom de Clifford dans le royaume-Uni — et Pandora de Voiture Système d’Alarme, qui accueillent au moins trois millions de clients entre eux, est récemment devenu le sujet d’intérêt pour les chercheurs de la Plume d’Essai Partenaires.
Le vendredi, la cybersécurité, les chercheurs ont publié leurs résultats dans la vraie posture de sécurité de ces soi-disant intelligente des alarmes et trouvé qu’elles ne tombent lamentablement à court de vendeurs.
Non seulement pourrait compromettre la smart alarmes résultat dans le type de véhicule et le propriétaire de détails pour être volé, mais la voiture peut être déverrouillé, l’alarme désactivée, le véhicule à chenilles, les microphones compromise, et l’anti-démarrage à être détourné.
Dans certains cas, les cyberattaques pourraient également entraîner le moteur de la voiture d’être tué lors de l’utilisation, qui, dans un monde réel scénario pourrait entraîner de graves blessures ou la mort.
Les deux sociétés ont affirmé que leurs produits étaient “intelligent”, et Pandora est allé jusqu’à dire que sa puce, les systèmes d’alarme ont été “inviolable.” (Cette demande a depuis été fouettée le site internet du vendeur.)
Stylo Test Partenaires
Comme le montre la vidéo ci-dessous, ces affirmations audacieuses ne séduire la cybersécurité des experts pour vous prouver le contraire.
Ce qui rend la situation encore pire, c’est combien il était facile pour le Pen Test de Partenaires pour réfuter ces nobles déclarations.
La découverte de simple, relativement simple failles dans les produits’ API, connu comme directe non sécurisée à un objet de référence (IDORs), a permis aux chercheurs de manipuler les paramètres du véhicule, de réinitialiser les informations d’identification d’utilisateur, pirater des comptes, et plus encore.
En Viper, une société tierce appelée CalAmp fournit le système back-end. Une faille de sécurité dans le “modifier l’utilisateur” API paramètre conduit à la validation incorrecte, qui à son tour permet à des attaquants afin de compromettre des comptes d’utilisateur.
L’équipe de recherche a constaté que le même bug pourraient être utilisés pour compromettre le moteur du véhicule système.
Voir aussi: Comment les constructeurs automobiles sont à la lutte contre les véhicules connectés de gestion des vulnérabilités
“Les vidéos promotionnelles de Pandora indiquer ce qui est possible aussi, mais il ne semble pas y avoir de travail sur notre voiture,” Pen-Test des Partenaires dit. “L’intention est de mettre fin à un véhicule volé. Sauf, à l’aide de la prise de contrôle du compte de la vulnérabilité dans l’application mobile, on pouvait tuer le moteur de toute voiture équipé de ces alarmes. La fonctionnalité n’est pas présente dans le Viper mobile INTERFACE utilisateur de l’application, mais a été pris en charge dans l’API.”
Quand il s’agit de Pandora, le PETIT est basé sur une requête POST qui se traduit également dans la compromission d’un compte, à côté des données importantes fuites. Il y avait un autre vecteur d’attaque de l’intérêt dans ce produit, basé sur la Pandora d’alarme de la capacité de faire des appels SOS en cas d’urgence.
Pour l’envoi des appels à l’aide, l’alarme est équipée d’un micro — et en raison de l’API d’une faille de sécurité, ce composant sont accessibles et peuvent être activés à distance pour des fins d’espionnage.
CNET: Facebook Messenger bug a révélé qui vous avez eu des conversations avec
Étant donné la gravité de ces problèmes de sécurité, et les trois millions de clients potentiellement touchés, Stylo Test Partenaires ont choisi de ferraille de sa norme de 90 jours délai de divulgation en faveur de une semaine.
À leur crédit, Pandora et Viper a répondu rapidement et a réussi à résoudre l’vulnérables Api dans la période de temps sur l’offre.
La leçon ici est que, malgré un manque de preuves dans le monde réel les attaques ont lieu contre les propriétaires d’un véhicule, il ne peut être qu’une question de temps avant que les failles de sécurité dans notre connecté voitures de devenir un risque pour la sécurité des conducteurs.
TechRepublic: attaques de Termites et de ver de Terre outil de test utilisées à des fins militaires pour créer des multi-plate-forme de réseaux de zombies
La cybersécurité n’est pas une question de rire et de toute société qui prétend offrir des “inviolable” périphériques est seulement en s’ouvrant à la moquerie, mais plutôt qu’un futur procès lors de l’absence de sécurité de la diligence résultats dans des accidents ou des blessures.
“On pourrait s’attendre qu’un fabricant d’alarmes, conçu pour rendre nos véhicules plus sûrs, aurait réalisé un degré de diligence raisonnable avant de prendre leurs produits sur le marché,” les chercheurs ont conclu. “Ces alarmes ne pas ajouter de sécurité supplémentaires pour protéger contre les principaux relais des attaques, et avant qu’ils ont été fixés, ils réellement exposés les propriétaires à d’autres attaques et compromis leur sécurité.”
Précédente et de la couverture liée
Le plus intéressant connecté à Internet véhicule des hacks sur enregistrer
Comment sécuriser votre voiture? Unpatchable faille permet à des attaquants de désactiver les dispositifs de sécurité
VW-Audi sécurité: Plusieurs d’infodivertissement défauts pourraient donner à des attaquants distants d’accès
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données