Hakowalne alarmy samochodowe narażają 3 mln pojazdów na kradzież

Przez słabe zabezpieczenie sterowanych aplikacją mobilną systemów alarmowych, pochodzących od zewnętrznych dostawców – milionom właścicieli aut groziła kradzież ich pojazdów.

Nowe badania przeprowadzone przez firmę Pen Test Partners sugerują, że zainstalowanie zewnętrznego alarmu samochodowego może zmniejszyć bezpieczeństwo pojazdu, a nawet ułatwić jego kradzież. Podczas testów okazało się, że alarmy obecne na rynku wtórnym i zaprojektowane z myślą o wprowadzeniu dodatkowego poziomu zabezpieczeń, posiadają poważne braki, mimo że często oferowane są jako „nie do zhakowania”. Testerzy zbadali alarmy wyprodukowane przez firmy: Pandora i Clifford (znane w Stanach Zjednoczonych jako „ Viper”). Obie firmy produkują alarmy, działanie których można kontrolować za pomocą aplikacji mobilnej na smartfonie i są wykorzystywane w około trzech milionach samochodów.

W przeszłości Pandora twierdziła, że oferowany przez nią produkt jest „nie do zhakowania”. W dzisiejszych czasach stwierdzenie takie wymaga wielkiej śmiałości (według niektórych wiąże się też z ryzykiem). Dotyczy to zresztą każdego sprzedawcy. W praktyce okazało się, że produkt Pandory ma poważną wadę. Wykorzystując podatność IDOR (Insecure Direct Object Reference), jedyną rzeczą, jaką haker musiał zrobić, było przekazanie – do zaplecza Pandory – parametru z adresem e-mail fałszywego użytkownika i zainicjowanie w ten sposób resetowania hasła.

Zdaniem analityków, dzięki tej technice ataku można było uzyskać dostęp do wielu wybranych pojazdów. Po zalogowaniu się na zhakowane konto przestępca był w stanie uzyskać lokalizację dokładnie takiego samochodu, jaki go interesował. W ten sposób można mógł dotrzeć do aut, których kradzież została mu zlecona lub wybrać najdroższe modele. W filmie dostępnym na YouTube testerzy zademonstrowali, jak mogli odnaleźć wybrany pojazd, zdalnie wyłączyć jego alarm (w rezultacie kierowca zatrzymał auto i zaczął szukać przyczyny), a następnie unieruchomić silnik. Potem wystarczyło ”tylko” zabrać kierowcy siłą kluczyki i zrabować samochód.

Z kolei w przypadku innego alarmu testerzy odkryli, że są w stanie zdalnie uzyskać dostęp do mikrofonu alarmu samochodowego i śledzić każdą rozmowę, która ma miejsce w jego zasięgu. Testerzy działali w sposób odpowiedzialny, informując sprzedawców o problemach stwarzanych przez ich alarmy. W obu przypadkach potwierdzono już, że błędy zostały usunięte.

Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe, podsumowuje:

- Tym razem udało się wykryć i zatrzymać niebezpieczny proceder, ale ile jeszcze innych podobnych produktów może być na rynku, oferowanych przez dostawców o nieuzasadnionej pewności siebie, żyjących w fałszywym przekonaniu o absolutnej nienaruszalności sprzedawanych przez siebie urządzeń, mimo faktycznej obecności wielu luk w ich zabezpieczeniach - nie wiadomo. Jak widać, warto polegać tylko na oryginalnych, pełnowartościowych zabezpieczeniach i ufać sprawdzonym, pewnym usługodawcom.