душман Опубликовано 13 марта, 2019 Поделиться Опубликовано 13 марта, 2019 Производители смарт-устройств должны запомнить: добавление к названию продукта эпитета «невзламываемый» еще не делает его таковым. Ярким примером являются «умные» противоугонные сигнализации от двух крупнейших производителей Viper и Pandora Car Alarm System, на деле оказавшиеся не такими уж «умными». Специалисты компании Pen Test Partners протестировали противоугонные сигнализации Viper и Pandora Car Alarm System и пришли к неутешительным выводам. Компрометация систем позволяет не только похитить данные о транспортном средстве и его владельце, но также открыть автомобиль, отключить сигнализацию, скомпрометировать микрофоны, отключить иммобилайзер и отслеживать передвижение автомобиля. В некоторых случаях злоумышленники также могут вывести из строя мотор во время его работы и тем самым спровоцировать аварию, результаты которой могут оказаться фатальными. И Viper, и Pandora Car Alarm System позиционируют свои противоугонные сигнализации как смарт-системы, а Viper еще и называет их «невзламываемыми» (сейчас это слово уже удалено с сайта производителя). Тем не менее, команде Pen Test Partners с легкостью удалось доказать обратное. Исследователи обнаружили в API систем простые и очевидные уязвимости, такие как незащищенные ресурсы и объекты (insecure direct object references, IDOR), позволившие им менять настройки, сбрасывать учетные данные пользователей, взламывать учетные записи и многое другое. Как оказалось во время тестирования, Viper использует бэкенд-систему от сторонней компании CalAmp. Уязвимость в параметре API 'modify user' возникает из-за недостаточной проверки данных, благодаря чему атакующий может скомпрометировать учетную запись пользователя. Эта же уязвимость также позволяет скомпрометировать мотор автомобиля. В случае с Pandora уязвимость IDOR связана с POST-запросами. Ее эксплуатация также может привести к компрометации учетной записи пользователя и утечке данных. Другой вектор атаки – функция вызова экстренной помощи. Работа функции обеспечивается за счет микрофонов, которыми оснащена система сигнализации. Однако из-за уязвимости в API злоумышленники могут удаленно подключиться к микрофону и использовать его для слежки за пользователями. В связи с опасностью уязвимостей исследователи решили сократить 90-дневный срок, который обычно отводится производителям на выпуск исправления, и раскрыть подробности о своих находках уже через неделю. Надо отдать должное Viper и Pandora Car Alarm System, обе компании успели уложиться в срок. IPTV сервис | Доступные цены кардшаринга | Доступные цены IPTV Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти