Автор Тема: Баги в «умных» автосигнализациях могли стать причиной угона  (Прочитано 78 раз)

0 Пользователей и 1 Гость просматривают эту тему.


  • Владелец сайта
  • Гл. Администратор
  • *****
  • ru

<---Информация--->

  • Сообщений: 60895
  • Регистрация: 29-03-2010
  • Возраст: 54
  • Расположение: Крым
  • Спасибо за пост:
  • -Сказал(а) спасибо: 60331
  • -Поблагодарили: 118485
  • Награды За 50 000 сообщений Главному Админу Новостнику форума Ключнику форума За активность в разделе Игры За активность в разделе Софт За активность в разделе Киноиндустрия За активность в разделах Книги и Аудио-книги За активность в разделе Музыка За активность в разделе Кулинария Тем, кто привел пользователей на наш форум За искрометный юмор
    • Награды
https://i.postimg.cc/MpQDHcPS/kiss-80kb-1552893398.png
       
Эксперты Pen Test Partners [Ссылки могут видеть только зарегистрированные пользователи. ] «умные» автосигнализации компаний Viper (известна под брендом Clifford  в Великобритании) и Pandora. Заняться исследованием противоугонных систем специалистов, в числе прочего, побудило заявление, опубликованное на сайте Pandora: там компания называла свои умные продукты «невзламываемыми» (в настоящее время  это громкое заявление уже было удалено с сайта).

https://i.postimg.cc/766JCdH2/screenshot-2019-03-08-at-13-37-14.png

В своем отчете специалисты Pen Test Partners пишут, что Viper и Pandora ненамеренно подвергали риску угона более 3 000 000 транспортных средств, использующих их продукты. Практически сразу исследователи обнаружили, что API производителей уязвимы из-за использования небезопасных прямых ссылок на объекты, и просто подменяя параметры атакующий без аутентификации способен сменить email-адрес, привязанный к аккаунту, отправить на этот измененный адрес запрос на смену пароля, а после захватить контроль над учетной записью. Причем такие аккаунты могут иметь не только покупатели уязвимых продуктов, Viper и Pandora также предоставляют желающим бесплатные демо.

В итоге хакер получает возможность узнать модель машины и информацию о ее владельце; может отслеживать транспортное средство в режиме реального времени; может отключить сигнализацию и разблокировать авто; завести или заглушить двигатель; включить или выключить иммобилайзер. Также в некоторых случаях злоумышленник может быть способен заглушить двигатель автомобиля прямо во время движения и подслушивать свою жертву через микрофон. Кроме того, по словам исследователей, в связке с Mazda 6, Range Rover Sport, Kia Quoris, Toyota Fortuner, Mitsubishi Pajero, Toyota Prius 50 и RAV4 API автосигнализаций имеют недокументированную функциональность, и позволяют удаленно регулировать заданную скорость круиз-контроля.

Видеоролик ниже демонстрирует обнаруженные экспертами уязвимости на практике.


В настоящее  время все обнаруженные специалистами проблемы уже были устранены, хотя исследователи дали разработчикам Viper и Pandora всего неделю на исправление багов.

[Ссылки могут видеть только зарегистрированные пользователи. ]

 


* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.