Het bellen van een product “smart” en “niet te breken’ niet op magische wijze het zo, als twee van de grootste leveranciers van auto-alarmen in de wereld hebben gevonden.
Viper, ook wel bekend als Clifford in het Verenigd Koninkrijk — en Pandora Auto Alarm Systeem, die zowel geschikt zijn voor ten minste drie miljoen klanten die tussen hen, die onlangs werd het onderwerp van belang voor onderzoekers van Pen Test Partners.
Op vrijdag, de cybersecurity onderzoekers publiceerden hun bevindingen in de ware zekerheid de houding van deze zogenaamde smart alarmen en vond ze vallen jammerlijk kort van de leveranciers van claims.
Zou niet alleen afbreuk te doen aan de smart alarm resultaat in het type voertuig en de eigenaar de gegevens worden gestolen, maar de auto kan worden ontgrendeld, wordt het alarm uitgeschakeld, wordt het voertuig bijgehouden, microfoons in het gedrang, en de startonderbreker worden gekaapt.
In sommige gevallen kan ook het gevolg zijn van cyberaanvallen in de motor van de auto wordt gedood tijdens het gebruik, dat in een real-world scenario kan resulteren in ernstig letsel of de dood.
Beide bedrijven beweerden dat hun producten zijn “smart” en Pandora ging zo ver om te zeggen dat de smart alarm systemen waren “niet te breken.” (Deze bewering is sindsdien slagroom uit de website van de leverancier.)
Pen Test Partners
Zoals in de video hieronder dergelijke gewaagde beweringen alleen verleiden cybersecurity-experts om te bewijzen dat je verkeerd.
Wat maakt de situatie nog erger is, is hoe makkelijk het was voor Pen Test Partners te weerleggen deze verheven uitspraken.
De ontdekking van eenvoudige, relatief eenvoudig kwetsbaarheden in de producten’ API, die bekend staat als onveilig directe object verwijzingen (IDORs), toegestaan de onderzoekers om te knoeien met het voertuig parameters opnieuw instellen gebruikersgegevens kapen van accounts en meer.
In Viper ‘ s geval, een derde bedrijf genaamd CalAmp biedt de back-end systeem. Een lek in de ‘modify user’ API parameter leidt tot onjuiste validatie, die op zijn beurt toestaat aanvallers compromis user accounts.
Het onderzoeksteam ontdekte dat dezelfde bug kan worden gebruikt voor het in gevaar brengen van de motor van het systeem.
Zie ook: Hoe autofabrikanten zijn het aanpakken van aangesloten voertuig vulnerability management
“Promotionele video’ s van Pandora geven aan dat dit ook mogelijk, maar het lijkt niet te werken op onze auto,” Pen Test Partners gezegd. “Het is de bedoeling dat halt een gestolen voertuig. Behalve het gebruik van het account overname kwetsbaarheid in de mobiele app, men zou kunnen doden van de motor van een auto uitgerust met deze alarmen. De functionaliteit niet aanwezig was in de Viper mobiele app UI, maar werd gesteund in de API.”
Als het gaat om het Pandora, de IDOR is gebaseerd op een POST-aanvraag die ook resulteert in rekening compromis, naast aanzienlijke lekken van gegevens. Er was nog een aanval van de interesse in dit product, ook gebaseerd op de Pandora alarm te kunnen maken en SOS-oproepen in geval van nood.
Om door te sturen kreten om hulp, het alarm is uitgerust met een microfoon — en door de API lek, dit onderdeel kan worden benaderd en ingeschakeld op afstand voor spionage doeleinden.
CNET: Facebook Messenger bug onthuld die je had gesprekken met
Gezien de ernst van deze problemen en de drie miljoen klanten potentieel beïnvloed, Pen Test Partners kozen voor schroot de standaard 90 dagen openbaarmaking periode in het voordeel van een week.
Om hun krediet -, Pandora en Viper reageerde snel en kon bevestig de kwetsbare Api ‘ s binnen de tijdsperiode aan te bieden.
De les hier is dat, ondanks een gebrek aan bewijs dat de echte wereld aanvallen plaats tegen de eigenaars van voertuigen, kan het alleen maar een kwestie van tijd voordat beveiligingsfouten in ons aangesloten auto ‘ s een gevaar voor de veiligheid van de chauffeur.
TechRepublic: Termieten en Regenworm hulpprogramma voor het testen van bewapende te maken van multi-platform botnet
Cybersecurity is niet om te lachen en een vennootschap die beweert te bieden “niet te breken” apparaten is alleen het openen van zelf up-to-spot-maar liever dat, dan een toekomstige rechtszaak als een gebrek aan veiligheid diligence resultaten op ongevallen of letsel.
“Men zou verwachten dat een fabrikant van alarmen, ontworpen om onze voertuigen veiliger, zou uitgevoerd hebben een graad van due diligence voorafgaand aan het nemen van hun producten op de markt,” de onderzoekers gesloten. “Deze alarmen niet toevoegen van een extra beveiligingsmaatregelen te beschermen tegen toets relais aanvallen, en voordat ze werden vastgesteld dat ze daadwerkelijk blootgesteld, de eigenaren een extra aanvallen en hun veiligheid in het gedrang komt.”
Vorige en aanverwante dekking
De meest interessante Internet-aangesloten voertuig hacks op record
Hoe veilig is uw auto? Unpatchable lek stelt aanvallers uitschakelen veiligheidsvoorzieningen
VW-Audi-beveiliging: Meerdere infotainment fouten kunnen geven aanvallers op afstand toegang
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters