U pametnim auto-alarmima nađeni ozbiljni propusti koji omogućavaju krađu automobila

Vesti, 11.03.2019, 00:30 AM

U pametnim auto-alarmima nađeni ozbiljni propusti koji omogućavaju krađu automobila

Sigurnosni propusti u pojedinim auto-alarmima čine vozila podložnim krađi, upozorili su istraživači Pen Test Partnera koji su sproveli istraživanje za BBC-jevu emisiju Click.

Greške su pronađene u aplikacijama za alarme proizvođača Clifford, Viper i Pandora, koji se nalaze u tri miliona vozila.

Istraživači su koristili bagove da bi aktivirali alarme, otključali vrata vozila i pokrenuli motor pomoću nebezbedne aplikacije.

Istraživači su se fokusirali na dve poznate firme koje proizvode alarme kojima se može pristupiti i koji se mogu kontrolisati putem aplikacija za pametne telefone - Pandora i Clifford.

Istraživanje je pokazalo da je Pandora, koja je reklamirala svoj sistem kao sistem koji je nemoguće hakovati, omogućava da se resetuje lozinka za bilo koji nalog. Pandora sada više ne tvrdi da je njen sistem neprobojan.

Ovaj propust je omogućio istraživačima značajan pristup aplikaciji. Oni su mogli:

- da preuzmu kontrolu nad aplikacijom za daljinski pristup pametnom alarmu,

- da prate bilo koje vozilo u realnom vremenu,

- da daljinski aktiviraju alarm,

- da otvore brave na vratima,

- da pokrenu motor vozila.

Istraživači su takođe ispitivali pametne alarme koje je proizveo Clifford. Tim je otkrio da je moguće koristiti legitiman nalog za pristup profilima drugih korisnika i zatim promeniti lozinke za te naloge i preuzeti kontrolu.

“Mogao bih da pogledam sistem i potražim lepi Lambodžini ili Porše, pronađem jedan u blizini mesta gde sam, odem i pokrenem taj auto ako niko nije u blizini, otvorim vrata i odvezem se”, rekao je Kris Pritčard, savetnik za sigurnost u Pen Test Partners.

Directed, matična kompanija za marke Viper i Clifford, priznala je da je "korisničkim nalozima moguće pristupiti bez autorizacije”, ali da kompanija ne veruje da je bilo kojim podacima pristupano bez odobrenja.

Greška je sada popravljena.

“Directed je posvećen pružanju sigurnih proizvoda, ali nijedan sistem ne može biti 100% siguran”, rečeno je za Click.

U izjavi ruske kompanija Pandora Alarms se kaže da su napravili izmene u kodu i da je greška ispravljena.

Stručnjak za bezbednost profesor Alan Vudvord rekao je za BBC da je “razočaravajuće” videti relativno jednostavne greške kompanija koje se bave bezbednošću.

“Mislili biste da bi bilo koja kompanija koja tvrdi da je bezbednost njena osnovna delatnost uradila temeljni test penetracije sistema u celini”, rekao je on. “Nije teško zaključiti da to ovde nije učinjeno.”


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zašto se zakrpljena ranjivost u WinRaru i dalje iskorišćava za napade

Zašto se zakrpljena ranjivost u WinRaru i dalje iskorišćava za napade

Različite kriminalne grupe i hakeri još uvek iskorišćavaju nedavno zakrpljenu kritičnu ranjivost u WinRAR-u, popularnoj aplikaciji za kompresiju ... Dalje

Huawei spreman da odustane od Androida i Windowsa ako bude zabranjen u SAD

Huawei spreman da odustane od Androida i Windowsa ako bude zabranjen u SAD

Huawei se suočava sa sve većim pritiskom Sjedinjenih Država i njihovih saveznika koje optužuju kompaniju da špijunira za kinesku vladu. Iako do ... Dalje

Dok su trajali problemi sa WhatsAppom i Messengerom, Telegram dobio 3 miliona novih korisnika

Dok su trajali problemi sa WhatsAppom i Messengerom, Telegram dobio 3 miliona novih korisnika

Korisnici iz celog sveta žalili su se ove nedelje na probleme sa slanjem poruka preko WhatsAppa i Messengera, objavama na Facebooku i pristupanjem dr... Dalje

Facebook: Tehnički problemi krivi za prekid u radu WhatsAppa, Messengera i Instagrama

Facebook: Tehnički problemi krivi za prekid u radu WhatsAppa, Messengera i Instagrama

Facebook je rekao da je "promena konfiguracije servera" kriva za najgori prekid u radu u njegovoj istoriji. Kompanija je objasnila da je to "pokrenulo... Dalje

Google uveo DuckDuckGo kao opciju za pretraživanje u Chromeu za više od 60 tržišta

Google uveo DuckDuckGo kao opciju za pretraživanje u Chromeu za više od 60 tržišta

U ažuriranju Chromium endžina, koji podupire Googleov popularni pregledač Chrome, Google je tiho ažurirao liste podrazumevanih pretraživača koje... Dalje