Chytré a „nehacknutelné“ autoalarmy selhaly, útočníci měli dveře otevřené – doslova?

Nazvat produkt „nehacknutelný“ je podobné, jako když o sobě někdo prohlašuje, že je nezranitelný: nehoda na sebe nenechá dlouho čekat.

Jedni z největších výrobců autoalarmů na světě nyní zjistily, jak špatný nápad je o něčem tvrdit, že nejde hacknout, obzvláště ve spojení s citlivými autoalarmy. Firmy Viper a Pandora Car Alarm System mají dohromady alespoň 3 miliony zákazníků a zájem o ně projevili vědci ze skupiny Pen Test Partners.

Více o automobilech, chytrých i jiných:

V páteční zveřejněné studii spolehlivě prokázali, že produkty obou firem mají k nehacknutelnosti velmi daleko. „Chytré autoalarmy“, jak jim výrobci říkají, jsou možná docela chytré, ale jako většina chytrých produktů jsou náchylné na zranitelnosti.

Zranitelnosti byly včas opraveny

Zneužití této zranitelnosti může navíc nejen vést k získání informací o typu auta a osobních informacích majitele, ale také k odemčení dveří, zneškodnění alarmu, možnosti sledování vozidla útočníkem a nahrávání pomocí integrovaného mikrofonu.

Ještě podstatně problematičtější je zjištění vědců, že kybernetický útok na chytrý alarm může dočasně vyřadit motor; to by v reálné situaci mohlo vést k vážným zraněním nebo i smrti majitele alarmu.

Obě společnosti si zakládají na tom, že jejich autoalarmy jsou chytré, a Pandora měla na stránkách označeno, že její systémy jsou nehacknutelné (prozíravě však již toto tvrzení na webu není).

Obrázek: Chytré a „nehacknutelné“ autoalarmy selhaly, útočníci měli dveře otevřené – doslova?

Výhodu však odvaha Pandory měla: bezpečnostní vědci měli díky tomu o to větší chuť potvrdit, že se firma mýlí, a přišli tak na potenciálně velmi nebezpečné zranitelnosti, které mohly obě firmy opravit.

Problematické je snad jen to, jak jednoduché bylo pro vědce najít a zneužít zranitelnost. Šlo o poměrně snadno odhalitelné chyby v API obou produktů, konkrétně o zranitelnosti typu IDOR. To vědcům umožnilo širokou škálu možnosti manipulace s alarmy včetně pokusu o krádež účtu.

Automobilismus potřebuje lepší zabezpečení externích produktů

U Viperu byla na vině třetí strana, společnost CalAmp, který poskytuje back-end pro produkty Viperu. Lokální bezpečnostní chyba v API parametru „modify user“ však vede k nesprávné identifikaci, která nejen může vést ke krádeži účtu, ale také ke zmíněné manipulaci s motorem vozidla.

Obrázek: Chytré a „nehacknutelné“ autoalarmy selhaly, útočníci měli dveře otevřené – doslova?

Pen Test Partners se jako typičtí bezpečnostní analytici zachovali po odhalení zranitelností správně: dokonce oběma firmám místo 90 dní dali na opravu chyb týden. Je nutno podotknout, že Viper i Pandora zranitelné API včas opravily.

A ponaučení? To, že něco nebylo hacknuto, neznamená, že když se někdo bude snažit, tak se tak nestane. Nalezení zranitelností je jen otázkou času a zrovna v automobilismu by zabezpečení mělo být co možná nejlepší a hlavně nejbezpečnější.

Produkty obou firem, Pandora a Viper, se v České republice prodávají.

Zdroj: 1, 2

Odebírat
Upozornit na
guest
1 Komentář
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
Obrázek: Výroba „benzínu“ ze vzduchu: Nová solární technologie přeměňuje skleníkový plyn CO2 na palivo
Výroba „benzínu“ ze vzduchu: Nová solární technologie přeměňuje skleníkový plyn CO2 na palivo
Obrázek: PanzerGlass pro nové modely Samsung Galaxy S25: Nižší ceny, více odolnosti i kryt s chlazením
PanzerGlass pro nové modely Samsung Galaxy S25: Nižší ceny, více odolnosti i kryt s chlazením
Obrázek: Boeing mířil příliš vysoko: Neúspěch Starlineru přišel krvácejícího giganta draho, projekt pravděpodobně ukončí
Boeing mířil příliš vysoko: Neúspěch Starlineru přišel krvácejícího giganta draho, projekt pravděpodobně ukončí
Obrázek: Recenze Huawei FreeBuds Pro 4: Skvělá TWS sluchátka s pokročilým ANC
88%
Recenze Huawei FreeBuds Pro 4: Skvělá TWS sluchátka s pokročilým ANC
Obrázek: Podvod s investicemi aneb Jak jsem podvodníkům poslal peníze a nechal se dobrovolně okrást
Podvod s investicemi aneb Jak jsem podvodníkům poslal peníze a nechal se dobrovolně okrást
Obrázek: Větrák na topení ušetří za energie a zrychlí vyhřátí místnosti: Lidé objevují nový trik s PC ventilátorem
Větrák na topení ušetří za energie a zrychlí vyhřátí místnosti: Lidé objevují nový trik s PC ventilátorem
Obrázek: Jaké aplikace nesmí chybět v novém chytrém telefonu? Nejlepší aplikace pro Android zdarma
Jaké aplikace nesmí chybět v novém chytrém telefonu? Nejlepší aplikace pro Android zdarma
Obrázek: Čas došel, Štědrý den je tu. Tipy na dárky na poslední chvíli, které vám přijdou e-mailem
Čas došel, Štědrý den je tu. Tipy na dárky na poslední chvíli, které vám přijdou e-mailem