Chytré a „nehacknutelné“ autoalarmy selhaly, útočníci měli dveře otevřené – doslova?

Nazvat produkt „nehacknutelný“ je podobné, jako když o sobě někdo prohlašuje, že je nezranitelný: nehoda na sebe nenechá dlouho čekat.

Jedni z největších výrobců autoalarmů na světě nyní zjistily, jak špatný nápad je o něčem tvrdit, že nejde hacknout, obzvláště ve spojení s citlivými autoalarmy. Firmy Viper a Pandora Car Alarm System mají dohromady alespoň 3 miliony zákazníků a zájem o ně projevili vědci ze skupiny Pen Test Partners.

Více o automobilech, chytrých i jiných:

V páteční zveřejněné studii spolehlivě prokázali, že produkty obou firem mají k nehacknutelnosti velmi daleko. „Chytré autoalarmy“, jak jim výrobci říkají, jsou možná docela chytré, ale jako většina chytrých produktů jsou náchylné na zranitelnosti.

Zranitelnosti byly včas opraveny

Zneužití této zranitelnosti může navíc nejen vést k získání informací o typu auta a osobních informacích majitele, ale také k odemčení dveří, zneškodnění alarmu, možnosti sledování vozidla útočníkem a nahrávání pomocí integrovaného mikrofonu.

Ještě podstatně problematičtější je zjištění vědců, že kybernetický útok na chytrý alarm může dočasně vyřadit motor; to by v reálné situaci mohlo vést k vážným zraněním nebo i smrti majitele alarmu.

Obě společnosti si zakládají na tom, že jejich autoalarmy jsou chytré, a Pandora měla na stránkách označeno, že její systémy jsou nehacknutelné (prozíravě však již toto tvrzení na webu není).

Výhodu však odvaha Pandory měla: bezpečnostní vědci měli díky tomu o to větší chuť potvrdit, že se firma mýlí, a přišli tak na potenciálně velmi nebezpečné zranitelnosti, které mohly obě firmy opravit.

Problematické je snad jen to, jak jednoduché bylo pro vědce najít a zneužít zranitelnost. Šlo o poměrně snadno odhalitelné chyby v API obou produktů, konkrétně o zranitelnosti typu IDOR. To vědcům umožnilo širokou škálu možnosti manipulace s alarmy včetně pokusu o krádež účtu.

Automobilismus potřebuje lepší zabezpečení externích produktů

U Viperu byla na vině třetí strana, společnost CalAmp, který poskytuje back-end pro produkty Viperu. Lokální bezpečnostní chyba v API parametru „modify user“ však vede k nesprávné identifikaci, která nejen může vést ke krádeži účtu, ale také ke zmíněné manipulaci s motorem vozidla.

Pen Test Partners se jako typičtí bezpečnostní analytici zachovali po odhalení zranitelností správně: dokonce oběma firmám místo 90 dní dali na opravu chyb týden. Je nutno podotknout, že Viper i Pandora zranitelné API včas opravily.

A ponaučení? To, že něco nebylo hacknuto, neznamená, že když se někdo bude snažit, tak se tak nestane. Nalezení zranitelností je jen otázkou času a zrovna v automobilismu by zabezpečení mělo být co možná nejlepší a hlavně nejbezpečnější.

Produkty obou firem, Pandora a Viper, se v České republice prodávají.

Zdroj: 1, 2

avatar
  Odebírat  
Upozornit na
Blockchain a kryptoměny Chytrá domácnost Chytrá města Chytrá věda Chytrá zábava Chytrá zařízení Chytré aplikace Chytré automobily Chytré studie Chytré technologie Chytré zprávy IoT Průmysl 4.0 Tiskové zprávy
Nvidia Jetson Nano: minipočítač překonává Raspberry Pi i Asus Tinker Board, navíc umí strojové učení
NASA: Asteroid o síle 10 atomových bomb explodoval nad Ruskem, včas jsme o něm nevěděli
Dvě třetiny antivirových programů pro Android neodhalí ani 30 % virů z minulého roku. Uspěly velké firmy
Tesla zruší kamenné obchody, automobil půjde koupit pouze přes internet – ale zato levněji

Spolu s oznámením, že Tesla Elona Muska konečně, po mnoha měsících slibů, začne prodávat Model 3 za pouhých 35 tisíc dolarů...

Zavřít