6 секунд и поехали: умная сигнализация Pandora сдавалась без боя угонщику

Опубликовано at 13:59
163 0

Специалисты по кибербезопасности из известной британской компании Pen Test Partners обнаружили весьма опасную уязвимость в системе работы бесключевой автомобильной сигнализации двух крупных мировых производителей. Речь о российской Pandora и американской Viper (известной в Англии под лейблом Clifford).

Дыра в системе работы сигнализации позволила исследователям при тестовом испытании почти моментально получить удалённый доступ к системам автомобиля и к данным, которые его система отсылает вовне. Так как брешь нашли в ходе независимого закрытого тестирования, Pen Test Partners незамедлительно уведомили о ней компании-производители сигнализации. Так что (по крайней мере теоретически) сегодня уязвимость, которая иначе бы затрагивала порядка 3 млн автомобилей в мире, исправлена и не представляет угрозы. Если вы из тех, кто обновляет ПО, конечно.

Как утверждают специалисты Pen Test Partners, до исправления дыры в умной сигнализации любой мог получить доступ к удалённому кабинету авторизованного владельца транспортного средства. Пользовательский интерфейс на серверах поддержки был сделан безобразно и позволял подменить почтовый адрес пользователя любым другим адресом без авторизации (!) и затем провести операцию сброса пароля с последующей отправкой пароля на адрес злоумышленника.

Проделать этот процесс оказалось сделать настолько легко, что исследователи назвали свой доклад «Угнать за 6 секунд». Ниже можно посмотреть его краткую youtube-версию:

Далее, когда хакер получил пароль пользователя и вошел в его аккаунт на смартфоне можно было запустить приложение, которое позволяло следить за перемещением автомобиля на карте, дистанционно глушить двигатель для принудительной остановки и открывать двери, а также прослушивать и записывать разговоры в салоне с помощью предусмотренного системой сигнализации микрофона для связи со службами спасения и техпомощью. О реальных случаях эксплуатация уязвимости данных нет.

АКБ напоминает, что год назад МЧС поразила интернет, неожиданно выпустив предупреждение о хакерах, которые могут удаленно перехватывать управление умным автомобилем. Всероссийский центр мониторинга и прогнозирования чрезвычайных ситуаций МЧС «Антистихия» опубликовал тогда пресс-релиз о киберугрозах для автомобилистов. «В 2018 году возможны атаки подключенных к интернету систем: автомобилей (отключение подушек безопасности, управление машиной, слежение за ее владельцем) и медицинских приборов», –  говорится в документе, в котором также упоминается, что в 2017 году число хакерских атак на российские информационные объекты увеличилось более чем в четыре раза.

Глава Агентства кибербезопасности и член экспертного совета Госдумы по информационной политике Евгений Лифшиц тогда рассказал в эфире радиостанции «Москва FM», почему нам надо быть готовыми к новой реальности.

Автомобили – это устройства, не созданные для интернета, не рассчитанные на такое взаимодействие. Когда сейчас их стали подключать к интернету, естественно, автомобили стали открыты для уязвимостей. Автомобили пока не прошли этот эволюционный путь, с точки зрения развития безопасности для удаленного доступа. Сейчас да, брешей много –  машина обновляется через интернет, ошибки можно посмотреть через интернет. Да что говорить, Tesla, например –  это вообще такой iPad или гаджет на колесах.

В будущем, по мнению эксперта, автопроизводители будут массово отзывать автомобили для перепрошивки после резонансных случаев взлома, чтобы залатать бреши в системе безопасности. С момента этого прогноза, в частности, выяснилось, что все данные и удаленное управление автомобилями Jaguar Land Rover по-прежнему доступны предыдущим владельцам после того, как автомобиль был перепродан, а также, что каршеринг – это золотая жила для кибермошенников.

Подписываемся, следим @CyberAgency

Related Post

Новый троян маскируется под мобильные приложения банков

Опубликовано - 29.11.2017 0
Всплеск распространения вирусных программ троян зафиксировала компания Group-IB, специализирующаяся на компьютерной безопасности. Вредоносные программы действовали под видом приложений крупных российских…

Не дай себя взломать: ЦБ защищается от хакеров

Опубликовано - 17.01.2018 0
Центробанк озаботился компьютерной безопасностью. На Гайдаровском форуме первый заместитель председателя Центрального банка РФ Ольга Скоробогатова высказалась, что обеспечение кибербезопасности теперь…

Добавить комментарий