Gondoltad volna? Autó(so)k milliói lehetnek veszélyben az okos riasztók miatt
Jó néhány millió autóba szereltek be mobiltelefonnal irányítható olyan riasztókat, amelyek – biztonsági hibáik miatt – nemhogy megvédik, de sérülékennyé teszik az autókat és az autósokat is. Vagyis ez esetben is igaznak bizonyult, hogy minél okosabb egy rendszer, annál több kockázatot hordoz magában.
A tolvajokat sem riasztják el, de még a hackereket is magukra szabadíthatják azok az autótulajdonosok, akik mobiltelefonnal irányítható riasztóberendezéseket épít(t)ettek az autójukba. Az okos riasztókat a Pen Test Partners cég tesztelte, és egy sor hibát jelzett is a gyártóknak, akik nyomban meg is szüntették őket. (Ez persze nem jelenti azt, hogy más hibákra ne derülhetne fény.)
A szakemberek a Pandora és a Cliford (az amerikai piacon Viper néven ismert) cégek által gyártott, mobiltelefonos alkalmazásokkal irányított riasztókat tesztelték. Ezek főleg az Amerikai Egyesült Államokban rendkívül népszerűek, és az eladási adatok szerint már több mint hárommillió autóba szerelték már be őket.
A Pandora eddig a „feltörhetetlen” jelzővel illette termékeit, az eset óta ezt az állítást törölte a weboldaláról. A Pandora terméke egy régóta közismert biztonsági hibát tartalmazott: az IDOR (Insecure Direct Object Reference) támadással úgy lehet a teljes adatbázis tartalmához hozzájutni, hogy a támadó egy tetszőleges paramétert küld a háttér-rendszerhez. A hibát felfedő biztonsági szakemberek szerint a sérülékenység kihasználásával a rendszergazdák jelszava is ellopható, így az összes felhasználó fiókjához hozzá tudnának férni.
A paraméterek módosításával bárki átírhatja az adott fiókhoz regisztrált e-mail-címet, majd új jelszó igénylése után máris átveheti az ellenőrzést a kiszemelt fiók felett. Ha a támadó belép egy feltört fiókba, az alkalmazás használatával megtudhatja, hogy hol van az adott autó, milyen típusú autóról van szó, így könnyedén ki tudja választani a számára „érdekes” járművet. Az alkalmazás segítségével ki-be lehet kapcsolni az ajtókat, az autó motorját pedig távolról el lehet indítani vagy leállítani.
A kutatók egy videót is készítettek, melyben az általuk kitalált támadásban a kiszemelt autó riasztóját távolról elindítják. Miután a vezető megáll, hogy megnézze, mi aktiválta a riasztót, erőszakkal elveszik tőle a kulcsokat ‒ és az autót már el is lopták.
Egy másik riasztó esetében távolról lehet a szerkezet mikrofonjához hozzáférni, így minden közeli beszélgetés kihallgatható. A hibákat mindkét gyártó elhárította, és reméljük, hogy a biztonságtudatos vásárlók is frissítették alkalmazásaikat. Vagy egyszerűen egy másik, kevésbé okos riasztót vásároltak.