19/03/2019

Hakowanie inteligentnych systemów alarmowych w samochodach

Zagrożenia

Specjaliści ds. bezpieczeństwa informacji z organizacji Pen Test Partners przechwycili kontrolę nad samochodem, wykorzystując jego alarm. Co więcej, zhakowane przez badaczy systemy bezpieczeństwa — Pandora i Viper SmartStart — są powszechnie stosowane: badacze szacują, że są one zainstalowane w 3 milionach pojazdów.

Wygodne, ale czy bezpieczne?

Teoretycznie inteligentne systemy antykradzieżowe spełniają funkcję nie tylko alarmów. Mogą one pomagać właścicielowi pojazdu nawet wtedy, gdy pojazd został przed chwilą skradziony. Na przykład mogą go śledzić, wyłączyć silnik lub zablokować drzwi, zanim przybędzie policja. Wszystko odbywa się za pośrednictwem aplikacji w smartfonie. Wygodne? Oczywiście! Bezpieczne? Według producentów takie systemy powstały z myślą o znaczącym zwiększeniu bezpieczeństwa aut.

Teraz ukraść można nie tylko Twoje auto.

Po przechwyceniu dostępu do Twojego konta i zalogowaniu się do aplikacji w Twoim imieniu cyberprzestępca uzyskuje dostęp do wielu danych i wszystkich funkcji inteligentnego alarmu. Wystarczy zmiana hasła, aby właściciel pojazdu stracił dostęp do systemu. W takiej sytuacji atakujący może:

  • śledzić trasę poruszania się pojazdu,
  • włączać i wyłączać system alarmowy,
  • blokować i odblokowywać drzwi do auta,
  • włączać i wyłączać immobilizer, czyli narzędzie zapobiegające kradzieży, które uniemożliwia uruchomienie silnika,
  • wyłączyć silnik — w niektórych przypadkach może to nastąpić nawet podczas jazdy.

W przypadku alarmów marki Pandora cyberprzestępca może także podsłuchiwać rozmowy prowadzone wewnątrz pojazdu poprzez mikrofon systemu antykradzieżowego, który jest przeznaczony do realizacji połączeń alarmowych. Niestety w tej sytuacji nie można zrobić nic, ponieważ dostęp do systemu ma tylko osoba atakująca. To nie jest zbyt fajne.

Inteligentne przechwycenie dostępu w zaledwie kilka sekund

Zespół badaczy odkrył, że przechwycenie konta użytkownika inteligentnego alarmu jest nie tylko możliwe, ale i nie takie trudne. Aby ukraść konto w systemie Viper lub Pandora, nie trzeba nawet kupować samego alarmu (który może sporo kosztować). Na chwilę przeprowadzania badania, aby uzyskać dostęp do systemu, wystarczy tylko zarejestrować konto na stronie internetowej lub w aplikacji — i użyć go do uzyskania dostępu do dowolnego konta.

Problemy te są podobne w obu systemach i dotyczy sposobu interakcji aplikacji z serwerem. Mechanizm ataku nieznacznie się różni. W przypadku Vipera atakujący może zmienić dane logowania dowolnego użytkownika poprzez wysłanie specjalnego żądania do serwera, na którym przechowywane są dane.

System Pandora jest nieco bardziej wymagający i nie umożliwia on resetowanie hasła dowolnej osobie; jednak cyberprzestępca może bez autoryzacji zmienić adres e-mail powiązany z profilem, a następnie użyć go do legalnej (z punktu widzenia systemu) próby zresetowania hasła.

Jak zapewnić sobie bezpieczeństwo?

Nie ma powodów do paniki, gdyż badacze poinformowali o swoich odkryciach producentów, którzy szybko wyeliminowali te problemy.

Jednak zanim przeprowadzono wspomniane badanie, pojazdy z inteligentnymi alarmami były w mniej bezpieczne niż te, które go nie posiadały. Ponadto nie wszyscy producenci urządzeń Internetu Rzeczy reagują na zalecenia ekspertów ds. cyberbezpieczeństwa tak szybko i tak skutecznie. A jeśli chodzi o nasze porady, jak zawsze zalecamy ostrożność w kwestii inteligentnych rozwiązań, a szczególnie jeśli chodzi o inteligentne zabezpieczenia.