Feltörhetetlennek hirdették, komoly biztonsági hibát találtak a Magyarországon is árult autóriasztóban

Két, elsősorban Amerikában népszerű okos riasztóról derült ki, hogy komoly biztonsági réseket tartalmaznak.

  • hvg.hu hvg.hu
Feltörhetetlennek hirdették, komoly biztonsági hibát találtak a Magyarországon is árult autóriasztóban

A kulcs nélküli indítórendszerek megjelenésével azt gondoltuk, hogy az autók védettebbek, a tolvajok számára nehezebben ellophatók lesznek. Az elmúlt egy-két évben azonban számos példát láthattunk arra, hogy ezeket a járműveket a modern technológia segítségével talán még könnyebb is ellopni, mint a korábbiakat. Korábban a brit rendőrség is közzétette egy biztonsági kamera felvételét, ami jól mutatja, milyen gyorsan végeztek a tolvajok az ellophatatlannak gondolt Mercedes meglovasításával. A G Data a kiberbiztonsági cég blogján most egy másik, szintén potenciális veszélyforrásra hívja fel a figyelmet.

A beszámoló szerint az autósok körében egyre népszerű, mobiltelefonnal irányítható riasztók jelenthetnek veszélyt a járművekre. Ezekben ugyanis olyan komoly biztonsági hibák lehetnek, amelyek nemhogy nem védik meg, sokkal sérülékenyebbé teszik az autókat és az autósokat is.

A Pandora és a Cliford által gyártott, elsősorban az amerikai piacon népszerű, de Magyarországon is kapható okos riasztókat a Pen Test Partners nevű cég tesztelte, és számos biztonsági rést talált bennük. Ezeket jelezték is a gyártóknak, akik a friss verziókban már ki is javították azokat, ettől függetlenül azonban még lehetnek olyan bugok a rendszerben, amelyekre eddig nem derült fény. Előbbi cég ráadásul feltörhetetlennek hirdette rendszerét, ám ezt a jelzőt a hibák kiderítése óta már levette a honlapjáról. Jelenleg nagyjából 3 millió olyan autó lehet, amibe beszerelték a problémás eszközöket.

A Pandora terméke egy régóta ismert biztonsági hibát tartalmazott: az IDOR (Insecure Direct Object Reference) támadással úgy lehet a teljes adatbázis tartalmához hozzájutni, hogy a támadó egy tetszőleges paramétert küld a háttérrendszerhez. A sérülékenység kihasználásával az adminisztrátorok jelszava is ellopható, így az összes felhasználó fiókjához hozzá tudnának férni.

Emiatt bárki átírhatja az adott fiókhoz regisztrált e-mail-címet, új jelszót igényelhet, és már át is veheti az ellenőrzést az adott felhasználói fiók felett. Ha a támadó belép egy feltört fiókba, az alkalmazás használatával megtudhatja, hogy hol van a kiszemelt autó, milyen típusról van szó. Az alkalmazás segítségével ki-be lehet kapcsolni az ajtókat, az autó motorját pedig távolról el lehet indítani vagy leállítani.

Egy másik riasztó esetében távolról lehet a szerkezet mikrofonjához hozzáférni, így minden közeli beszélgetés lehallgatható.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

Megszavazták a módosított költségvetést, de Budapest csak időt nyert, életet nem - közvetítésünk a Fővárosi Közgyűlés üléséről

Megszavazták a módosított költségvetést, de Budapest csak időt nyert, életet nem - közvetítésünk a Fővárosi Közgyűlés üléséről

A július 1-i határidő előtti utolsó pillanatban, a hétfői rendkívüli közgyűlésen dőlt el, hogy a fővárosi képviselők kiigazították a már korábban, konszenzussal elfogadott 2025-ös költségvetést, így van újra érvényes büdzséje a fővárosnak – év végéig. Ha nem így lett volna, durva korlátozásokkal és pénzügyi nehézségekkel járó állapotra kellett volna készülni.