heh.pl
Kanał informacyjny Heh.pl


Czwartek 28 marca 2024 r.

artykuły | abc komputera (archiwum) | forum dyskusyjne | redakcja


Piątek, 15 marca 2019, 21:45

Hakowalne alarmy samochodowe narażają 3 mln pojazdów na kradzież

Przez słabe zabezpieczenie sterowanych aplikacją mobilną systemów alarmowych, pochodzących od zewnętrznych dostawców – milionom właścicieli aut groziła kradzież ich pojazdów.

Nowe badania przeprowadzone przez firmę Pen Test Partners sugerują, że zainstalowanie zewnętrznego alarmu samochodowego może zmniejszyć bezpieczeństwo pojazdu, a nawet ułatwić jego kradzież.

Podczas testów okazało się, że alarmy obecne na rynku wtórnym i zaprojektowane z myślą o wprowadzeniu dodatkowego poziomu zabezpieczeń, posiadają poważne braki, mimo że często oferowane są jako „nie do zhakowania”.

Testerzy zbadali alarmy wyprodukowane przez firmy: Pandora i Clifford (znane w Stanach Zjednoczonych jako „ Viper”). Obie firmy produkują alarmy, działanie których można kontrolować za pomocą aplikacji mobilnej na smartfonie i są wykorzystywane w około trzech milionach samochodów.

W przeszłości Pandora twierdziła, że oferowany przez nią produkt jest „nie do zhakowania”. W dzisiejszych czasach stwierdzenie takie wymaga wielkiej śmiałości (według niektórych wiąże się też z ryzykiem). Dotyczy to zresztą każdego sprzedawcy.

W praktyce okazało się, że produkt Pandory ma poważną wadę. Wykorzystując podatność IDOR (Insecure Direct Object Reference), jedyną rzeczą, jaką haker musiał zrobić, było przekazanie – do zaplecza Pandory – parametru z adresem e-mail fałszywego użytkownika i zainicjowanie w ten sposób resetowania hasła.
Zdaniem analityków, dzięki tej technice ataku można było uzyskać dostęp do wielu wybranych pojazdów. Po zalogowaniu się na zhakowane konto przestępca był w stanie uzyskać lokalizację dokładnie takiego samochodu, jaki go interesował. W ten sposób można mógł dotrzeć do aut, których kradzież została mu zlecona lub wybrać najdroższe modele.

W filmie dostępnym na YouTube testerzy zademonstrowali, jak mogli odnaleźć wybrany pojazd, zdalnie wyłączyć jego alarm (w rezultacie kierowca zatrzymał auto i zaczął szukać przyczyny), a następnie unieruchomić silnik. Potem wystarczyło ”tylko” zabrać kierowcy siłą kluczyki i zrabować samochód.

Z kolei w przypadku innego alarmu testerzy odkryli, że są w stanie zdalnie uzyskać dostęp do mikrofonu alarmu samochodowego i śledzić każdą rozmowę, która ma miejsce w jego zasięgu.

Testerzy działali w sposób odpowiedzialny, informując sprzedawców o problemach stwarzanych przez ich alarmy. W obu przypadkach potwierdzono już, że błędy zostały usunięte.

Wersja do druku
Poleć znajomym: Udostępnij

Podobne tematy


Starsze

15.03.2019 r.

Twórca OneCoin aresztowany, 21:43

Pożegnanie z systemem Windows 7 , 21:42


Nowsze

15.03.2019 r.

Sieć hoteli Marriott uboższa zaledwie o 3 miliony dolarów, 21:46

YouTube wyłącza możliwość komentowania filmów wideo z udziałem nieletnich, 21:48


Redakcja nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego.


Brak komentarzy. Może warto dodać swój własny?



Autor:  










Copyright © 2002-2024 | Prywatność | Load: 1.66 | SQL: 9 | Uptime: 9 days, 13:58 h:m | Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl