Эксперты Pen Test Partners изучили «умные» автосигнализации компаний Viper (известна под брендом Clifford в Великобритании) и Pandora. Заняться исследованием противоугонных систем специалистов, в числе прочего, побудило заявление, опубликованное на сайте Pandora: там компания называла свои умные продукты «невзламываемыми» (в настоящее время это громкое заявление уже было удалено с сайта).
В своем отчете специалисты Pen Test Partners пишут, что Viper и Pandora ненамеренно подвергали риску угона более 3 000 000 транспортных средств, использующих их продукты. Практически сразу исследователи обнаружили, что API производителей уязвимы из-за использования небезопасных прямых ссылок на объекты, и просто подменяя параметры атакующий без аутентификации способен сменить email-адрес, привязанный к аккаунту, отправить на этот измененный адрес запрос на смену пароля, а после захватить контроль над учетной записью. Причем такие аккаунты могут иметь не только покупатели уязвимых продуктов, Viper и Pandora также предоставляют желающим бесплатные демо.
В итоге хакер получает возможность узнать модель машины и информацию о ее владельце; может отслеживать транспортное средство в режиме реального времени; может отключить сигнализацию и разблокировать авто; завести или заглушить двигатель; включить или выключить иммобилайзер. Также в некоторых случаях злоумышленник может быть способен заглушить двигатель автомобиля прямо во время движения и подслушивать свою жертву через микрофон. Кроме того, по словам исследователей, в связке с Mazda 6, Range Rover Sport, Kia Quoris, Toyota Fortuner, Mitsubishi Pajero, Toyota Prius 50 и RAV4 API автосигнализаций имеют недокументированную функциональность, и позволяют удаленно регулировать заданную скорость круиз-контроля.
Видеоролик ниже демонстрирует обнаруженные экспертами уязвимости на практике.
В настоящее время все обнаруженные специалистами проблемы уже были устранены, хотя исследователи дали разработчикам Viper и Pandora всего неделю на исправление багов.