avatar_alexsf

Баги в «умных» автосигнализациях могли стать причиной угона

Автор alexsf, 18-03-2019, 10:18

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

alexsfTopic starter

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
       
Эксперты Pen Test Partners You are not allowed to view links. Register or Login «умные» автосигнализации компаний Viper (известна под брендом Clifford  в Великобритании) и Pandora. Заняться исследованием противоугонных систем специалистов, в числе прочего, побудило заявление, опубликованное на сайте Pandora: там компания называла свои умные продукты «невзламываемыми» (в настоящее время  это громкое заявление уже было удалено с сайта).

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

В своем отчете специалисты Pen Test Partners пишут, что Viper и Pandora ненамеренно подвергали риску угона более 3 000 000 транспортных средств, использующих их продукты. Практически сразу исследователи обнаружили, что API производителей уязвимы из-за использования небезопасных прямых ссылок на объекты, и просто подменяя параметры атакующий без аутентификации способен сменить email-адрес, привязанный к аккаунту, отправить на этот измененный адрес запрос на смену пароля, а после захватить контроль над учетной записью. Причем такие аккаунты могут иметь не только покупатели уязвимых продуктов, Viper и Pandora также предоставляют желающим бесплатные демо.

В итоге хакер получает возможность узнать модель машины и информацию о ее владельце; может отслеживать транспортное средство в режиме реального времени; может отключить сигнализацию и разблокировать авто; завести или заглушить двигатель; включить или выключить иммобилайзер. Также в некоторых случаях злоумышленник может быть способен заглушить двигатель автомобиля прямо во время движения и подслушивать свою жертву через микрофон. Кроме того, по словам исследователей, в связке с Mazda 6, Range Rover Sport, Kia Quoris, Toyota Fortuner, Mitsubishi Pajero, Toyota Prius 50 и RAV4 API автосигнализаций имеют недокументированную функциональность, и позволяют удаленно регулировать заданную скорость круиз-контроля.

Видеоролик ниже демонстрирует обнаруженные экспертами уязвимости на практике.


В настоящее  время все обнаруженные специалистами проблемы уже были устранены, хотя исследователи дали разработчикам Viper и Pandora всего неделю на исправление багов.

You are not allowed to view links. Register or Login
Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

В одни руки выдаем любой 1 ключ. Всего 1 любой ключ.

Следующий ключ не ранее, чем за 3 дня до окончания лицензии.

Есть ключи на Norton AntiVirus Plus 2023 1 ПК / до 10.2024 You are not allowed to view links. Register or Login

Есть Не активы для NS и NSBU на 90 дней

You are not allowed to view links. Register or Login

🡱 🡳

* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.