Vulnerabilități grave de securitate, descoperite la sistemele inteligente de alarmă auto


Au fost găsite lacune de securitate critice la două sisteme inteligente de alarmă pentru autoturisme, expunând trei milioane de vehicule la nivel global riscului de a fi compromise, arată cercetările realizate de Pen Test Partners. Dacă ar fi fost exploatate, vulnerabilitățile ar fi permis oricărei persoane nu doar să oprească alarma, ci și să urmărească și să deblocheze o mașina prevăzută cu acest sistem. În unele cazuri, cercetătorii au reușit să asculte conversații din mașină cu ajutorul unui microfon încorporat într-unul din sistemele de alarmă sau chiar să pornească motorul mașinii ori să îl oprească în timpul mersului.

Aceste vulnerabilități au afectat sistemele de alarmă ce permit controlul autoturismelor conectate prin intermediul unor aplicații de smartphone dedicate, realizate de două companii - Pandora, din Rusia și Viper, cu sediul în Statele Unite (cunoscut drept Clifford în Regatul Unit). Prima dintre ele și-a prezentat produsele ca fiind „imposibil de spart de hackeri", potrivit Pen Partners Partners.

Ușor de găsit și ușor de reparat

Cercetătorii au descoperit că API-urile ambelor aplicații (interfețe de programare a aplicațiilor) nu au reușit să autentifice în mod corespunzător anumite solicitări, în special cererile de modificare a parolei sau a adresei de e-mail. Acest lucru a reprezentat portița hackerilor pentru compromiterea contului.

„Prin simpla manipulare a parametrilor, se poate actualiza adresa de e-mail asociată unui cont fără a fi nevoie de autentificare, se trimite un link de resetare a parolei la noua adresă introdusă (adică cea a hackerului) și, astfel, se preia controlul asupra contului", au mai adăugat ei. După ce au obținut acces la contul victimei, hackerii pot, de asemenea, să preia controlul asupra mașinii asociate acestui cont.

În plus, în vreme ce cercetătorii chiar au cumpărat mostre ale acestor sisteme de alarmă pentru a efectua cât mai bine testele, au spus că oricine putea crea un cont de test pentru a compromite un cont legitim. „Ambele produse permit oricui să creeze un cont demo. Cu acesta, puteți accesa orice cont legitim și obține detaliile acestuia", potrivit Pen Partners Partners, care a descris acest lacume ca fiind „ușor de găsit și ușor de rezolvat".

Cele două companii în cauză au confirmat existența bug-urilor și au lansat patch-uri pentru acestea în decurs de câteva zile de când au fost alertați de hackerii white hat.

Tomas Foltyn March 12, 2019

Lasa un comentariu