Bikin kaget! Celah keamanan ditemukan pada alarm mobil-mobil keren

Kelemahan keamanan di tiga alarm mobil spesialis telah membuat kendaraan rentan dicuri atau dibajak, kata para peneliti. Bug ditemukan di aplikasi alarm oleh Clifford, Viper, dan Pandora. Alarm ada pada tiga juta kendaraan.

Peneliti keamanan mengeksploitasi bug untuk mengaktifkan alarm mobil, membuka kunci pintu kendaraan dan menyalakan mesin melalui aplikasi yang tidak aman. Eksposur telah mendorong perusahaan untuk meningkatkan keamanan untuk menghilangkan kekurangan.

Penelitian ini dilakukan untuk program teknologi Klik BBC oleh konsultan keamanan Pen Test Partners, yang memiliki rekam jejak panjang mengungkap kelemahan perangkat lunak. Perusahaan ini fokus pada dua perusahaan terkenal yang menghasilkan alarm yang dapat diakses dan dikendalikan melalui aplikasi smartphone – Pandora dan Clifford (dikenal di AS sebagai Viper).

Penelitian menemukan bahwa Pandora, yang telah mengiklankan sistemnya sebagai “tidak dapat dibackable”, memungkinkan pengguna untuk mereset kata sandi akun untuk akun apa pun.

Pandora sekarang tidak lagi membuat klaim bahwa sistemnya tidak bisa dibajak. Cacat kata sandi memungkinkan peneliti akses signifikan ke aplikasi. Mereka bisa:

  • untuk mengendalikan aplikasi akses jarak jauh alarm pintar
  •     melacak kendaraan apa pun secara real time
  •     mengaktifkan alarm dari jarak jauh
  •     buka kunci pintu
  •     nyalakan mesin kendaraan

Para peretas etis juga melihat alarm pintar yang diproduksi oleh Clifford, yang merupakan pemimpin pasar alarm pihak ketiga di Inggris.

Tim menemukan bahwa dimungkinkan untuk menggunakan akun yang sah untuk mengakses profil pengguna lain dan kemudian mengubah kata sandi untuk akun tersebut dan mengambil kendali.

“Saya bisa melihat pada sistem dan mencari Lamborghini atau Porsche yang bagus, cari yang dekat dengan tempat saya, pergi dan mulai mobil itu jika tidak ada orang di sekitar, buka pintu dan pergi,” kata Chris Pritchard, seorang konsultan keamanan di Mitra Tes Pena.

Diarahkan, perusahaan induk untuk merek Viper dan Clifford, mengakui bahwa “akun pelanggan dapat diakses tanpa otorisasi … sebagai hasil dari pembaruan baru-baru ini”.

Ia menambahkan bahwa perusahaan tidak percaya data apa pun telah diakses tanpa otorisasi. Kelemahan keamanan sekarang telah diperbaiki. “Sutradara berkomitmen untuk menyediakan produk yang aman dan aman tetapi tidak ada sistem yang 100% aman,” katanya kepada Click.

Dalam sebuah pernyataan, Pandora Alarms yang berbasis di Rusia, yang juga menjual produk di Inggris, mengatakan: “Kami telah membuat perubahan pada kode dan meningkatkan keamanan. Titik sakitnya telah dihapus.”

itu menyarankan bahwa kunci fob disediakan untuk pemilik dengan alarm “akan menimpa akses jarak jauh melalui aplikasi”. Pakar keamanan Profesor Alan Woodward dari Pusat Keamanan Cyber ​​Universitas Surrey mengatakan “mengecewakan” melihat kekurangan yang relatif sederhana yang diperkenalkan oleh perusahaan-perusahaan dalam bisnis keamanan.

“Anda akan berpikir perusahaan mana pun yang mengklaim keamanan sebagai bisnis inti mereka akan melakukan tes penetrasi menyeluruh pada sistem secara keseluruhan,” katanya. “Sulit untuk tidak menyimpulkan bahwa itu tidak dilakukan di sini.”

Dia menambahkan: “Masalahnya berada dalam kendali langsung perusahaan. Saya khawatir para peneliti keamanan lagi-lagi yang memegang tanggung jawab produsen ini.” Prof Woodward mengatakan telah menjadi tren bagi perusahaan untuk menghabiskan banyak waktu di “ujung depan” aplikasi yang dilihat pengguna, tetapi kurang memperhatikan “ujung belakang” yang membuat program terbuka untuk kelemahan keamanan.

“Seharusnya perusahaan membayar untuk ini, bukan peneliti yang melakukannya sebagai usaha sampingan,” katanya.

Leave a Reply

Your email address will not be published. Required fields are marked *