Всички новиниУязвимости

Smart аларма излага на риск от кражба над 3 млн. автомобила

Уязвимост в API-тата на руската Pandora и американската Viper позволяват превземане на потребителски акаунти и контрол върху защитаваните превозни средства

Две smart системи за автомобили излагат на риск от кражба над 3 млн. автомобила по цял свят, показва проучване на Pen Test Partners.

Уязвимост в системата за сигурност на автомобилите позволява локализирането им, изключването на алармите и отключването на колите. В някои случаи е възможно дори да се подслушват разговори посредством микрофон, вграден в алармената система. И още: пълен контрол върху двигателя (стартирането му или спирането му, дори и автомобилът да е в движение при последното).

Пробойните засягат алармени системи, които позволяват контрол върху сигурността на smart автомобили чрез приложения за смартфони, изработени от две компании – руската Pandora и американската Viper.

Уязвимостите и на двете приложения се дължат на проблем с функциониране на програмно-приложените им интерфейси (API) и по-специално на функциите за смяна на парола и имейл. Благодарение на тази уязвимости, може лесно да бъде превзет акаунт на потребител.

„Лека заигравка“ с параметрите на API-то позволява ъпдейт на имейл адреса, с който е регистриран даден акаунт, без за това да се изисква автентикация пред приложението. След тази промяна, атакуващият може лесно да смени паролата на потребителя чрез функцията Забравена парола и да превземе акаунта на жертвата си, пишат от Pen Test Partners.

И двете компании са признали за уязвимостите и са ги запушили в рамките на няколко дни след анализа.

Тагове
Покажи още

Христо Ласков

С над 15 години опит - 7 от които като журналист - технологиите са огромна част от живота ми. Колкото повече следя темата, толкова повече се убеждавам, че сигурността на информацията е в основата на който и да било и продукт или услуга. Затова отделям значителна част от времето си, за да развивам freedomonline.bg - българският сайт за IT сигурност.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

Back to top button
Close