Наиболее известные противоугонные сигнализации оказались не эффективны
Ошибки были найдены в приложениях Clifford, Viper и Pandora, которые обеспечивают сигнализацией три миллиона автомобилей. Исследователи использовали ошибки, чтобы активировать автомобильную сигнализацию, разблокировать двери автомобиля и запустить двигатель с помощью приложения.
«Взлом» сигналов тревоги
Исследование было проведено для программы Click technology консультантами по безопасности Pen Test Partners, которые имеют длинный послужной список выявления недостатков программного обеспечения.
Фирма сосредоточилась на двух известных фирмах, которые производят сигнализацию, контролируемую через приложения для смартфонов - Pandora и Clifford (известная также, как Viper).
Исследование показало, что Pandora, которые рекламировали свою систему как «невзламываемую», позволяли пользователю сбрасывать пароли для любой учетной записи.
Теперь Pandora больше не утверждают, что их система не может быть взломана. Данный недостаток дал исследователям значительный доступ к приложению. Они смогли:
• взять под контроль смарт-приложение удаленного доступа сигнализации
• отслеживать любое транспортное средство в режиме реального времени
• удаленно активировать сигнал тревоги
• открыть дверные замки
• запустить двигатель автомобиля.
Хакеры изучили смарт-сигналы тревоги, производимые Clifford, которые являются одним из лидеров рынка сигнализаций.
Команда обнаружила, что можно использовать учетную запись для доступа к профилям других пользователей, а затем изменить пароли для этих учетных записей.
«Я мог бы посмотреть на систему, найти хороший Lamborghini или Porsche, пойти и запустить эту машину, если никого нет, открыть двери и уехать», - сказал Крис Притчард, консультант по безопасности в Pen Test Partners.
Учетная запись скомпрометирована
Directed, материнская компания для брендов Viper и Clifford, признала, что «учетные записи клиентов могли быть доступны без разрешения в результате недавнего обновления».
Они добавили, что какие-либо данные не были доступны без разрешения.
«Directed стремятся обеспечить безопасные продукты, но ни одна система не может быть на 100% безопасной».
В заявлении российского подразделения Pandora Alarms, говорится: «Мы внесли изменения в код и улучшили безопасность. Болевая точка удалена».
Брелок, предоставляемый владельцам с сигнализациями, «будет ограничивать любой удаленный доступ через приложение».
Технические ошибки
Эксперт по безопасности профессор Алан Вудворд из Университета Суррея сказал, что он был «разочарован» обнаружением относительно простых недостатков у компаний, ведущих бизнес в сфере безопасности.
«Мы считаем, что фирма, работающая в сфере безопасности, должна проводить тесты на проникновение в систему в целом, - сказал он. – Получается, что в данном случае это было не сделано».
Он добавил: «Система находилась под непосредственным контролем компании. Я боюсь, что исследователи безопасности снова единственные, кто привлек производителей к ответственности».
Профессор Вудворд сказал, что компании зачастую тратят много времени на «фасад» приложений, который видят пользователи, но обращают меньше внимания на «задний двор», который содержит много недостатков безопасности.
«За эти исследования должны платить компании, а не исследователи», - сказал он.
Оставьте комментарий!