Smart аларма излага на риск от кражба над 3 млн. автомобила
Уязвимост в API-тата на руската Pandora и американската Viper позволяват превземане на потребителски акаунти и контрол върху защитаваните превозни средства
Две smart системи за автомобили излагат на риск от кражба над 3 млн. автомобила по цял свят, показва проучване на Pen Test Partners.
Уязвимост в системата за сигурност на автомобилите позволява локализирането им, изключването на алармите и отключването на колите. В някои случаи е възможно дори да се подслушват разговори посредством микрофон, вграден в алармената система. И още: пълен контрол върху двигателя (стартирането му или спирането му, дори и автомобилът да е в движение при последното).
Пробойните засягат алармени системи, които позволяват контрол върху сигурността на smart автомобили чрез приложения за смартфони, изработени от две компании – руската Pandora и американската Viper.
Уязвимостите и на двете приложения се дължат на проблем с функциониране на програмно-приложените им интерфейси (API) и по-специално на функциите за смяна на парола и имейл. Благодарение на тази уязвимости, може лесно да бъде превзет акаунт на потребител.
„Лека заигравка“ с параметрите на API-то позволява ъпдейт на имейл адреса, с който е регистриран даден акаунт, без за това да се изисква автентикация пред приложението. След тази промяна, атакуващият може лесно да смени паролата на потребителя чрез функцията Забравена парола и да превземе акаунта на жертвата си, пишат от Pen Test Partners.
И двете компании са признали за уязвимостите и са ги запушили в рамките на няколко дни след анализа.