Login
Исследователи утверждают, что из-за недостатков безопасности трех специальных автомобильных сигнализаций автомобили могут быть угнаны.
Ошибки были найдены в приложениях сигнализациях Clifford, Viper, и Pandora. Сигнализация на три миллиона транспортных средств.
Исследователи безопасности использовали ошибки, чтобы активировать автомобильную сигнализацию, разблокировать двери автомобиля и запустить двигатель через небезопасное приложение.
Экспозиция побудила компании обновить систему безопасности, чтобы устранить недостатки.
Консультанты по безопасности Pen Test Partners провели исследование для технологической программы Click на BBC, которая уже давно обнаружила недостатки программного обеспечения.
Фирма сосредоточилась на двух известных компаниях, которые производят сигналы тревоги, к которым можно обращаться и управлять через приложения для смартфонов - Pandora и Clifford (известный в США как Viper).
Исследование показало, что Pandora, которая рекламировала свою систему как «не взломанную», позволяла пользователю сбрасывать пароли учетной записи для любой учетной записи.
Пандора больше не утверждает, что ее система не поддается взлому.
Недостаток пароля позволил получить значительный доступ к приложению. Это позволяет:
- взять под контроль приложение удаленного доступа Smart Alarm;
- отслеживать любое транспортное средство в режиме реального времени;
- дистанционно активировать будильник;
- открыть дверные замки;
- запустить двигатель автомобиля.
Приложения были расмотрены этическими хакерами.
Этические хакеры также рассмотрели умные сигналы тревоги, произведенные Клиффордом, который является лидером на рынке сторонних сигналов в Великобритании.
Команда обнаружила, что можно использовать законную учетную запись для доступа к профилям других пользователей, а затем изменить пароли для этих учетных записей и получить контроль.
«Я мог бы взглянуть на систему и найти хороший Lamborghini или Porsche, рядом с тем местом, где я нахожусь, подойти и запустить эту машину, если бы рядом никого не было, открыть двери и уехать», - сказал Крис Причард, консультант по безопасности в Pen Test Partners.
Компания Directed, материнская компания брендов Viper и Clifford, признала, что «учетные записи клиентов могли быть доступны без авторизации ... в результате недавнего обновления».
Она добавила, что компания не считает, что какие-либо данные были доступны без разрешения.
Ошибка безопасности была исправлена.
«Directed стремится предоставлять безопасные и надежные продукты, но ни одна система не может быть на 100% безопасной», - говорится в сообщении.
В заявлении российской Pandora Alarms, которая также продает продукты в Великобритании, говорится: «Мы внесли изменения в код и повысили безопасность.
