Chytré a „nehacknutelné“ autoalarmy selhaly, útočníci měli dveře otevřené – doslova?

Nazvat produkt „nehacknutelný“ je podobné, jako když o sobě někdo prohlašuje, že je nezranitelný: nehoda na sebe nenechá dlouho čekat.

Jedni z největších výrobců autoalarmů na světě nyní zjistily, jak špatný nápad je o něčem tvrdit, že nejde hacknout, obzvláště ve spojení s citlivými autoalarmy. Firmy Viper a Pandora Car Alarm System mají dohromady alespoň 3 miliony zákazníků a zájem o ně projevili vědci ze skupiny Pen Test Partners.

Více o automobilech, chytrých i jiných:

V páteční zveřejněné studii spolehlivě prokázali, že produkty obou firem mají k nehacknutelnosti velmi daleko. „Chytré autoalarmy“, jak jim výrobci říkají, jsou možná docela chytré, ale jako většina chytrých produktů jsou náchylné na zranitelnosti.

Zranitelnosti byly včas opraveny

Zneužití této zranitelnosti může navíc nejen vést k získání informací o typu auta a osobních informacích majitele, ale také k odemčení dveří, zneškodnění alarmu, možnosti sledování vozidla útočníkem a nahrávání pomocí integrovaného mikrofonu.

Ještě podstatně problematičtější je zjištění vědců, že kybernetický útok na chytrý alarm může dočasně vyřadit motor; to by v reálné situaci mohlo vést k vážným zraněním nebo i smrti majitele alarmu.

Obě společnosti si zakládají na tom, že jejich autoalarmy jsou chytré, a Pandora měla na stránkách označeno, že její systémy jsou nehacknutelné (prozíravě však již toto tvrzení na webu není).

Obrázek: Chytré a „nehacknutelné“ autoalarmy selhaly, útočníci měli dveře otevřené – doslova?

Výhodu však odvaha Pandory měla: bezpečnostní vědci měli díky tomu o to větší chuť potvrdit, že se firma mýlí, a přišli tak na potenciálně velmi nebezpečné zranitelnosti, které mohly obě firmy opravit.

Problematické je snad jen to, jak jednoduché bylo pro vědce najít a zneužít zranitelnost. Šlo o poměrně snadno odhalitelné chyby v API obou produktů, konkrétně o zranitelnosti typu IDOR. To vědcům umožnilo širokou škálu možnosti manipulace s alarmy včetně pokusu o krádež účtu.

Automobilismus potřebuje lepší zabezpečení externích produktů

U Viperu byla na vině třetí strana, společnost CalAmp, který poskytuje back-end pro produkty Viperu. Lokální bezpečnostní chyba v API parametru „modify user“ však vede k nesprávné identifikaci, která nejen může vést ke krádeži účtu, ale také ke zmíněné manipulaci s motorem vozidla.

Obrázek: Chytré a „nehacknutelné“ autoalarmy selhaly, útočníci měli dveře otevřené – doslova?

Pen Test Partners se jako typičtí bezpečnostní analytici zachovali po odhalení zranitelností správně: dokonce oběma firmám místo 90 dní dali na opravu chyb týden. Je nutno podotknout, že Viper i Pandora zranitelné API včas opravily.

A ponaučení? To, že něco nebylo hacknuto, neznamená, že když se někdo bude snažit, tak se tak nestane. Nalezení zranitelností je jen otázkou času a zrovna v automobilismu by zabezpečení mělo být co možná nejlepší a hlavně nejbezpečnější.

Produkty obou firem, Pandora a Viper, se v České republice prodávají.

Zdroj: 1, 2

1 Komentář
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
Karel

https://insmart.cz zajímave

Obrázek: Xiaomi Robot Vacuum X10+ je inteligentní robotický vysavač, který vydrhne podlahy a sám se vyčistí
Xiaomi Robot Vacuum X10+ je inteligentní robotický vysavač, který vydrhne podlahy a sám se vyčistí
Obrázek: Recenze elektrické koloběžky Vsett 10+: Dva motory hravě zvládnou i 70 km/h
Recenze elektrické koloběžky Vsett 10+: Dva motory hravě zvládnou i 70 km/h
Obrázek: Ford přechází na Tesla konektor: Začíná nová éra v dobíjení elektromobilů?
Ford přechází na Tesla konektor: Začíná nová éra v dobíjení elektromobilů?
Obrázek: Novinky ze světa AI #4: Posílení 5G sítí, průzkum podvědomí či umělá inteligence ve Windows
Novinky ze světa AI #4: Posílení 5G sítí, průzkum podvědomí či umělá inteligence ve Windows
Obrázek: Jak na perfektní fotky mobilem? Vivo X90 Pro v rukou profesionálního fotografa
Jak na perfektní fotky mobilem? Vivo X90 Pro v rukou profesionálního fotografa
Obrázek: Zákaz TikToku od ledna 2024: Zakáže Západ oblíbenou sociální síť mladých?
Zákaz TikToku od ledna 2024: Zakáže Západ oblíbenou sociální síť mladých?
Obrázek: Kde sledovat mistrovství světa v hokeji? Online v prohlížeči, na mobilu i v PC bez internetu
Kde sledovat mistrovství světa v hokeji? Online v prohlížeči, na mobilu i v PC bez internetu
Obrázek: Tajemství úspěchu na Twitteru: Zdrojové kódy odhalily, jaké příspěvky jsou algoritmem zvýhodněny
Tajemství úspěchu na Twitteru: Zdrojové kódy odhalily, jaké příspěvky jsou algoritmem zvýhodněny