Chytré a „nehacknutelné“ autoalarmy selhaly, útočníci měli dveře otevřené – doslova?

Nazvat produkt „nehacknutelný“ je podobné, jako když o sobě někdo prohlašuje, že je nezranitelný: nehoda na sebe nenechá dlouho čekat.

Jedni z největších výrobců autoalarmů na světě nyní zjistily, jak špatný nápad je o něčem tvrdit, že nejde hacknout, obzvláště ve spojení s citlivými autoalarmy. Firmy Viper a Pandora Car Alarm System mají dohromady alespoň 3 miliony zákazníků a zájem o ně projevili vědci ze skupiny Pen Test Partners.

Více o automobilech, chytrých i jiných:

V páteční zveřejněné studii spolehlivě prokázali, že produkty obou firem mají k nehacknutelnosti velmi daleko. „Chytré autoalarmy“, jak jim výrobci říkají, jsou možná docela chytré, ale jako většina chytrých produktů jsou náchylné na zranitelnosti.

Zranitelnosti byly včas opraveny

Zneužití této zranitelnosti může navíc nejen vést k získání informací o typu auta a osobních informacích majitele, ale také k odemčení dveří, zneškodnění alarmu, možnosti sledování vozidla útočníkem a nahrávání pomocí integrovaného mikrofonu.

Ještě podstatně problematičtější je zjištění vědců, že kybernetický útok na chytrý alarm může dočasně vyřadit motor; to by v reálné situaci mohlo vést k vážným zraněním nebo i smrti majitele alarmu.

Obě společnosti si zakládají na tom, že jejich autoalarmy jsou chytré, a Pandora měla na stránkách označeno, že její systémy jsou nehacknutelné (prozíravě však již toto tvrzení na webu není).

Obrázek: Chytré a „nehacknutelné“ autoalarmy selhaly, útočníci měli dveře otevřené – doslova?

Výhodu však odvaha Pandory měla: bezpečnostní vědci měli díky tomu o to větší chuť potvrdit, že se firma mýlí, a přišli tak na potenciálně velmi nebezpečné zranitelnosti, které mohly obě firmy opravit.

Problematické je snad jen to, jak jednoduché bylo pro vědce najít a zneužít zranitelnost. Šlo o poměrně snadno odhalitelné chyby v API obou produktů, konkrétně o zranitelnosti typu IDOR. To vědcům umožnilo širokou škálu možnosti manipulace s alarmy včetně pokusu o krádež účtu.

Automobilismus potřebuje lepší zabezpečení externích produktů

U Viperu byla na vině třetí strana, společnost CalAmp, který poskytuje back-end pro produkty Viperu. Lokální bezpečnostní chyba v API parametru „modify user“ však vede k nesprávné identifikaci, která nejen může vést ke krádeži účtu, ale také ke zmíněné manipulaci s motorem vozidla.

Obrázek: Chytré a „nehacknutelné“ autoalarmy selhaly, útočníci měli dveře otevřené – doslova?

Pen Test Partners se jako typičtí bezpečnostní analytici zachovali po odhalení zranitelností správně: dokonce oběma firmám místo 90 dní dali na opravu chyb týden. Je nutno podotknout, že Viper i Pandora zranitelné API včas opravily.

A ponaučení? To, že něco nebylo hacknuto, neznamená, že když se někdo bude snažit, tak se tak nestane. Nalezení zranitelností je jen otázkou času a zrovna v automobilismu by zabezpečení mělo být co možná nejlepší a hlavně nejbezpečnější.

Produkty obou firem, Pandora a Viper, se v České republice prodávají.

Zdroj: 1, 2

1 Komentář
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
Karel
Obrázek: Kancelář v přírodě? Pomůže powerbar, výkonná powerbanka s 220V zásuvkou
Kancelář v přírodě? Pomůže powerbar, výkonná powerbanka s 220V zásuvkou
Obrázek: 747 končí. Boeing ani Airbus už nechtějí stavět další čtyřmotorová letadla
747 končí. Boeing ani Airbus už nechtějí stavět další čtyřmotorová letadla
Obrázek: Velký úspěch policie v celé Evropě, společnými silami policisté zdolali šifrovanou platformu pro zločince Encrochat. Zadrželi tuny drog a stovky palných zbraní
Velký úspěch policie v celé Evropě, společnými silami policisté zdolali šifrovanou platformu pro zločince Encrochat. Zadrželi tuny drog a stovky palných zbraní
Obrázek: Navštívili jsme iQLANDIA v Liberci: Jaké je největší české vědecko – zábavní centrum?
Navštívili jsme iQLANDIA v Liberci: Jaké je největší české vědecko – zábavní centrum?
Obrázek: Odinstalujte si z počítačů nebezpečný Flash Player, radí uživatelům Adobe. Jak na to?
Odinstalujte si z počítačů nebezpečný Flash Player, radí uživatelům Adobe. Jak na to?
Obrázek: Jak se zbavit předinstalovaných aplikací? Odinstalujte je, nebo je zakažte
Jak se zbavit předinstalovaných aplikací? Odinstalujte je, nebo je zakažte
Obrázek: Nefunguje vám internet? Vodafone má výpadek, přístup k internetu nefungoval v ČR a dalších zemích
Nefunguje vám internet? Vodafone má výpadek, přístup k internetu nefungoval v ČR a dalších zemích
Obrázek: Jak stahovat videa a hudbu z YouTube? Jde to snadno v prohlížeči, PC i na mobilu
98%
Jak stahovat videa a hudbu z YouTube? Jde to snadno v prohlížeči, PC i na mobilu
Obrázek: Tesla zruší kamenné obchody, automobil půjde koupit pouze přes internet – ale zato levněji
Tesla zruší kamenné obchody, automobil půjde koupit pouze přes internet – ale zato levněji

Spolu s oznámením, že Tesla Elona Muska konečně, po mnoha měsících slibů, začne prodávat Model 3 za pouhých 35 tisíc dolarů...

Zavřít