Уязвимость в автомобильной сигнализации грозила угоном 3 миллионов машин

Специалисты по кибербезопасности британской Pen Test Partners обнаружили весьма опасную уязвимость в системе работы бесключевой автомобильной сигнализации двух мировых компаний – российской Pandora и американской Viper (в Англии – Clifford).

Выявленная уязвимость в системе работы сигнализации, установленной на автомобили, позволила исследователям получить удалённый доступ к системам автомобиля и к данным, которые он мог выдавать.

Поскольку уязвимость выявлена на этапе независимого закрытого тестирования, о ней сразу сообщили компаниям-производителям сигнализации. К настоящему дню уязвимость, которая затрагивала порядка 3 млн. автомобилей в мире, закрыта и не представляет угрозы.

С помощью выявленной уязвимости любой мог получить доступ к удалённому кабинету авторизованного владельца транспортного средства. Недоработки в пользовательском интерфейсе на серверах поддержки позволяли подменить почтовый адрес пользователя любым другим адресом без авторизации и провести операцию сброса пароля с последующей отправкой пароля на адрес злоумышленника. Это оказалось сделать настолько легко, что исследователи назвали свой доклад «Угнать за 6 секунд».

После получения пароля пользователя и входа в аккаунт на смартфоне можно было запустить приложение, которое позволяло следить за перемещением автомобиля на карте, дистанционно глушить двигатель для принудительной остановки и открывать двери, а также прослушивать и записывать разговоры в салоне с помощью предусмотренного системой сигнализации микрофона для связи со службами спасения и техпомощью.

Источник