Хакеры используют критические недостатки в приложениях автосигнализации - что нужно знать водителям

В прошлом месяце эксперты предупреждали, что некоторые автомобили атаковались хакерами. Это предупреждение повторяется сегодня, когда новости о том, что хакеры в Pen Test Partners смогли использовать критические уязвимости в популярных «умных» приложениях для автосигнализации и разблокировать транспортные средства, прослушивать разговоры водителя и даже останавливать двигатель во время езды автомобиля. 

Специалисты по тестированию на проникновение вложили около 4000 фунтов стерлингов (5000 долларов США) в системы интеллектуальных автомобильных сигнализаций высшего класса, чтобы протестировать их. Кен Манро, основатель Pen Test Partners, объясняет то, что реклама одного из заинтересованных поставщиков и система, изначально вызывала интерес. Это никогда не будет большим требованием, так как любой эксперт по безопасности скажет вам, что нет такой вещи, как 100% безопасность. Неудивительно, что этот поставщик, Pandora, теперь удалил необоснованное требование со своего веб-сайта. Pen Test Partners также проверил системы сигнализации от Viper, которые выпускаются под маркой Clifford в Великобритании. Учитывая, что они представляют одни из крупнейших мировых брендов в области безопасности транспортных средств, вы не можете ожидать, что их продукты будут в безопасности. 

Какие недостатки обнаружили исследователи?

Уязвимости было не так сложно обнаружить, и они позволили исследователям использовать законную учетную запись одного пользователя для доступа к профилям других. Это произошло потому, что один простой запрос «изменить пользователя» в коде не был правильно внесен для проверки. Получив доступ, они смогли изменить пароли пользователей и взять под контроль учетную запись и машину, к которой она относится. Напомним, что, взяв несколько параметров в коде приложения, исследователи могли обновить зарегистрированную учетную запись электронной почты без аутентификации и отправить запрос на сброс пароля на новый адрес. Я упоминал, что вам даже не нужно было владеть одной из систем, чтобы получить учетную запись, что делает использование этих недостатков еще более тривиальным.

Что они могли сделать в результате?

Как только исследователи получили контроль над учетной записью пользователя, они могли получить доступ и извлечь все пользовательские данные. Они не действовали и действовали ответственно, только получая доступ к данным из своих собственных учетных записей, чтобы доказать концепцию. То, что они делали, это определяли местоположение и отслеживали транспортное средство. В подходящем моменте они смогли заглушить двигатель, в результате чего машина остановилась, открыть двери и, таким образом, угнать автомобиль, если он был склонен. Аналогичным образом, они могут вызвать срабатывание будильника и мигание огней во время движения, в результате чего водитель останавливается, чтобы провести расследование. В этот момент они могли установить иммобилайзер и, поскольку они контролировали учетную запись, не позволяли владельцу перезапустить автомобиль.

Что-то еще? Что ж, клонирование брелка стало возможным с помощью приложения, позволяющего разблокировать автомобиль на любом смартфоне. Это звучит достаточно плохо, но становится еще хуже: на автомобиле, оснащенном Viper, исследователи смогли убить двигатель, пока он находился в движении. «Это очень важно для безопасности», - объясняет Мунро, продолжая: "Сколько несчастных случаев, связанных с вождением автомобилей на скоростных дорогах, может быть вызвано злоумышленниками?" Что касается функции запуска / остановки, Манро признает, что «она очень специфична для транспортного средства, поэтому мы не смогли все это протестировать». Среди автомобилей, которые могут подвергаться риску от этой конкретной уязвимости, по словам Мунро, - Mazda 6, Range Rover Sport, Kia Quoris, Toyota Fortuner, Mitsubishi Pajero, Toyota Prius 50 и RAV4. «Похоже, что все они имеют недокументированную функциональность, присутствующую в API сигнализации для удаленной регулировки скорости круиз-контроля!» Но, пожалуй, самый удивительный взлом был связан с системой сигнализации Pandora, в которой есть микрофон, позволяющий водителю совершать экстренные вызовы.

Что сказали продавцы?

В электронном письме TechCrunch Энтони Ното из Pandora настаивал на том, что «шифрование системы не было взломано, пульты не были взломаны, а теги не были клонированы». Он сказал, что проблема была в «программном сбое», которое позволило «временный доступ», который «сейчас решен». Говоря с BBC , Directed, который является материнской компанией для брендов Clifford и Viper, сказал, что «учетные записи клиентов могли быть доступны без разрешения ... в результате недавнего обновления».

Партнеры Pen Test связались с соответствующими поставщиками, прежде чем публиковать сведения об уязвимостях, чтобы их можно было исправить. Поскольку эти уязвимости присутствуют в программном обеспечении приложений, поставщики смогли изменить кодировку, и исследователи подтвердили, что недостатки были исправлены как Clifford / Viper, так и Pandora. Все это говорит, Манро указывает, что его исследователи не провели полный тест кодирования интерфейса, поскольку это потребовало бы дальнейшей авторизации. «Мы понятия не имеем, есть ли другие уязвимости ...», - признается Мунро. «Исправление проблем может быть трудным, и фирмы проделали хорошую работу по быстрому решению этих проблем, - говорит Адам Браун, менеджер по решениям безопасности в Synopsys».

И, как отмечает Иан Трамп, глава отдела безопасности AmTrust International, «хотя компании предприняли быстрые действия, которые заслуживают похвалы, эти устройства никогда не должны были устанавливаться - в первую очередь с присутствующими уязвимостями». Трамп также говорит, что повезло, что хорошие парни попали туда первыми, добавив, что «мы никогда не узнаем наверняка, поскольку на поверхности атаки было около трех миллионов транспортных средств с установленной сигнализацией ...»