Компания Pen Test Partners сообщила о серьезных уязвимостях, выявленных в «умных» охранных системах для автомобилей, выпускаемых лидерами рынка - Viper и Pandora Car Alarm System. Их охранные системы используют в общей сложности около 3 миллионов автовладельцев, а цена продукции может составлять несколько тысяч долларов. В числе множества функций, предлагаемых Viper и Pandora Car Alarm System – определение геопозиции автомобиля и блокировка двигателя в случае угона машины. Управлять системами можно с помощью приложения для смартфона.
Интересно, что одна из компаний, Pandora, даже гордо заявляет на своем сайте, что используемый ею код не может быть взломан, а потому клиенты надежно защищены от хакеров. Возможно, код действительно хорош, но этого никак не скажешь о мобильном приложении. Как выяснили специалисты Pen Test Partners, оно осуществляло недостаточно строгую аутентификацию запросов на обновление данных. Та же уязвимость обнаружилась и в приложении Viper. В результате исследователям не составило труда изменить пароль и адрес электронной почты, ассоциированный с аккаунтом владельца системы – и установить полный контроль над ней. В ходе эксперимента глава компании Pen Test Partners Кен Манро заблокировал двигатель автомобиля Range Rover с установленной на нем охранной системой Viper, не ставя в известность владельца машины – чем вызвал немалое удивление последнего. Разумеется, исследователь выбрал момент, когда машина не двигалась. Однако злоумышленники могут не обременять себя подобными «пустяками», поэтому чрезвычайная опасность выявленной проблемы вполне очевидна. К счастью, неприятное открытие было сделано еще в октябре прошлого года, и к настоящему моменту оба производителя охранных систем уже устранили уязвимость.
Источник: CNet
г. Москва, улица 8 марта, дом 1, строение 12 (БЦ Трио, первая башня)
+7 495 730-29-69 info@tcinet.ru
+7 495 730-29-70
