Chytré a „nehacknutelné“ autoalarmy selhaly, útočníci měli dveře otevřené – doslova?

Nazvat produkt „nehacknutelný“ je podobné, jako když o sobě někdo prohlašuje, že je nezranitelný: nehoda na sebe nenechá dlouho čekat.

Jedni z největších výrobců autoalarmů na světě nyní zjistily, jak špatný nápad je o něčem tvrdit, že nejde hacknout, obzvláště ve spojení s citlivými autoalarmy. Firmy Viper a Pandora Car Alarm System mají dohromady alespoň 3 miliony zákazníků a zájem o ně projevili vědci ze skupiny Pen Test Partners.

Více o automobilech, chytrých i jiných:

V páteční zveřejněné studii spolehlivě prokázali, že produkty obou firem mají k nehacknutelnosti velmi daleko. „Chytré autoalarmy“, jak jim výrobci říkají, jsou možná docela chytré, ale jako většina chytrých produktů jsou náchylné na zranitelnosti.

Zranitelnosti byly včas opraveny

Zneužití této zranitelnosti může navíc nejen vést k získání informací o typu auta a osobních informacích majitele, ale také k odemčení dveří, zneškodnění alarmu, možnosti sledování vozidla útočníkem a nahrávání pomocí integrovaného mikrofonu.

Ještě podstatně problematičtější je zjištění vědců, že kybernetický útok na chytrý alarm může dočasně vyřadit motor; to by v reálné situaci mohlo vést k vážným zraněním nebo i smrti majitele alarmu.

Obě společnosti si zakládají na tom, že jejich autoalarmy jsou chytré, a Pandora měla na stránkách označeno, že její systémy jsou nehacknutelné (prozíravě však již toto tvrzení na webu není).

Obrázek: Chytré a „nehacknutelné“ autoalarmy selhaly, útočníci měli dveře otevřené – doslova?

Výhodu však odvaha Pandory měla: bezpečnostní vědci měli díky tomu o to větší chuť potvrdit, že se firma mýlí, a přišli tak na potenciálně velmi nebezpečné zranitelnosti, které mohly obě firmy opravit.

Problematické je snad jen to, jak jednoduché bylo pro vědce najít a zneužít zranitelnost. Šlo o poměrně snadno odhalitelné chyby v API obou produktů, konkrétně o zranitelnosti typu IDOR. To vědcům umožnilo širokou škálu možnosti manipulace s alarmy včetně pokusu o krádež účtu.

Automobilismus potřebuje lepší zabezpečení externích produktů

U Viperu byla na vině třetí strana, společnost CalAmp, který poskytuje back-end pro produkty Viperu. Lokální bezpečnostní chyba v API parametru „modify user“ však vede k nesprávné identifikaci, která nejen může vést ke krádeži účtu, ale také ke zmíněné manipulaci s motorem vozidla.

Obrázek: Chytré a „nehacknutelné“ autoalarmy selhaly, útočníci měli dveře otevřené – doslova?

Pen Test Partners se jako typičtí bezpečnostní analytici zachovali po odhalení zranitelností správně: dokonce oběma firmám místo 90 dní dali na opravu chyb týden. Je nutno podotknout, že Viper i Pandora zranitelné API včas opravily.

A ponaučení? To, že něco nebylo hacknuto, neznamená, že když se někdo bude snažit, tak se tak nestane. Nalezení zranitelností je jen otázkou času a zrovna v automobilismu by zabezpečení mělo být co možná nejlepší a hlavně nejbezpečnější.

Produkty obou firem, Pandora a Viper, se v České republice prodávají.

Zdroj: 1, 2

1 Komentář
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
Karel

https://insmart.cz zajímave

Obrázek: Chromebookům se daří, dominují PC trhu. Prodeje rostou HP i Lenovu
Chromebookům se daří, dominují PC trhu. Prodeje rostou HP i Lenovu
Obrázek: Vodní pára na Ganymede? Stará data pomáhají k novým objevům
Vodní pára na Ganymede? Stará data pomáhají k novým objevům
Obrázek: Nedostatek polovodičů firmy znatelně pociťují, mezi nimi i Tesla
Nedostatek polovodičů firmy znatelně pociťují, mezi nimi i Tesla
Obrázek: Nabíjení přímo ze silnice: Starý koncept v novém kabátku
Nabíjení přímo ze silnice: Starý koncept v novém kabátku
Obrázek: Jak platit Bitcoinem menší částky? Rychle a levně s Lightning Network
Jak platit Bitcoinem menší částky? Rychle a levně s Lightning Network
Obrázek: Vadí vám nové počasí ve Windows 10? Poradíme, jak ho z lišty odstranit
Vadí vám nové počasí ve Windows 10? Poradíme, jak ho z lišty odstranit
Obrázek: Dříve za peníze, nyní zdarma: Nástroje Google Workspace jsou nyní k dispozici každému
Dříve za peníze, nyní zdarma: Nástroje Google Workspace jsou nyní k dispozici každému
Obrázek: I Apple počítače trápí viry: macOS nejčastěji ohrožuje reklamní malware
I Apple počítače trápí viry: macOS nejčastěji ohrožuje reklamní malware
Obrázek: Tesla zruší kamenné obchody, automobil půjde koupit pouze přes internet – ale zato levněji
Tesla zruší kamenné obchody, automobil půjde koupit pouze přes internet – ale zato levněji

Spolu s oznámením, že Tesla Elona Muska konečně, po mnoha měsících slibů, začne prodávat Model 3 za pouhých 35 tisíc dolarů...

Zavřít