Alarmy samochodowe 2 popularnych firm – totalnie hackowalne. Można przejąc / śledzić samochody

08 marca 2019, 13:57 | W biegu | 0 komentarzy
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Chodzi o dwie bardzo popularne firmy (+ te same rozwiązania, tylko subbrandowane): Viper oraz Pandora

Viper is the world’s best selling vehicle security and remote start brand. We use cutting-edge technology to make sure you are in control, providing range and features you can count on every time.

Jak przystało na topowy alarm samochodowy, musi on mieć aplikacje mobilną. Aplikacja mobilna jest połączona z API w Internecie, a całe rozwiązanie jak zapewnia jeden z producentów jest ‚unhackable’.

Jak też przystało na nowoczesny świat – rządzi nim marketing, więc w miodnym ‚unhackable’ chodziło tylko o to, żeby dało się wszystko łatwiej sprzedać :) Natomiast wspominane powyżej API ma banalną podatność umożliwiającą bez uwierzytelnienia zmianę hasła dowolnemu użytkownikowi (wystarczy podać jego id, które jest najzwyklejszą liczbą). Odpowiednie żądanie HTTP wygląda tak:

Zmieniamy maila przypisanego do konta, wysyłamy reset hasła, mamy konto. Co dalej? Dalej można:

  • Otwierać zdalnie samochód (!)
  • Włączać alarm
  • Włączać / wyłączać immobiliser
  • Czasem (zależy od parametrów skonfigurowanych w alarmie) wyłączać silnik w trakcie pracy
  • Czasem (zależy od parametrów skonfigurowanych w alarmie) słuchać zdalnie wnętrze samochodu

Filmik demo tutaj:

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz