Errores en alarmas de autos inteligentes podrían causar robo
os expertos de Pen Test Partners estudiaron los «inteligentes» sistemas de alarma para automóviles de Viper (conocido bajo la marca Clifford en el Reino Unido) y Pandora. El estudio de los especialistas en sistemas antirrobo, entre otras cosas, provocó una declaración publicada en el sitio web de Pandora: allí la compañía llamó a sus productos inteligentes «irrompibles» (ahora esta declaración fuerte ya se ha eliminado del sitio).
En su informe, Pen Test Partners escribió que Viper y Pandora pusieron inadvertidamente más de 3,000,000 de vehículos utilizando sus productos en riesgo de robo. Casi inmediatamente, los investigadores descubrieron que las API de los fabricantes son vulnerables debido al uso de enlaces directos inseguros a los objetos, y simplemente al reemplazar los parámetros de un atacante sin autenticación puede cambiar la dirección de correo electrónico asociada a la cuenta, enviar una solicitud para cambiar la contraseña a esta dirección modificada y luego tomar el control. sobre cuenta. Además, estas cuentas pueden tener no solo a los compradores de productos vulnerables, Viper y Pandora también proporcionan a aquellos que lo deseen con demostraciones gratuitas.
Como resultado, el pirata informático tiene la oportunidad de averiguar el modelo de la máquina y la información sobre su propietario; Puede rastrear el vehículo en tiempo real; puede desactivar la alarma y desbloquear el coche; arrancar o parar el motor; activar o desactivar el inmovilizador. También en algunos casos, el atacante puede ser capaz de amortiguar el motor del automóvil mientras conduce y espiar a su víctima a través de un micrófono. Además, según los investigadores, junto con el Mazda 6, el Range Rover Sport, el Kia Quoris, el Toyota Fortuner, el Mitsubishi Pajero, el Toyota Prius 50 y el RAV4 API tienen funciones no documentadas, y le permiten ajustar de forma remota la velocidad del control de crucero.
El siguiente video muestra las vulnerabilidades descubiertas por los expertos en la práctica.
Actualmente, todos los problemas encontrados por los expertos ya se han solucionado, aunque los investigadores les dieron a los desarrolladores de Viper y Pandora solo una semana para corregir los errores.