szerző:
hvg.hu
Tetszett a cikk?

Két, elsősorban Amerikában népszerű okos riasztóról derült ki, hogy komoly biztonsági réseket tartalmaznak.

A kulcs nélküli indítórendszerek megjelenésével azt gondoltuk, hogy az autók védettebbek, a tolvajok számára nehezebben ellophatók lesznek. Az elmúlt egy-két évben azonban számos példát láthattunk arra, hogy ezeket a járműveket a modern technológia segítségével talán még könnyebb is ellopni, mint a korábbiakat. Korábban a brit rendőrség is közzétette egy biztonsági kamera felvételét, ami jól mutatja, milyen gyorsan végeztek a tolvajok az ellophatatlannak gondolt Mercedes meglovasításával. A G Data a kiberbiztonsági cég blogján most egy másik, szintén potenciális veszélyforrásra hívja fel a figyelmet.

A beszámoló szerint az autósok körében egyre népszerű, mobiltelefonnal irányítható riasztók jelenthetnek veszélyt a járművekre. Ezekben ugyanis olyan komoly biztonsági hibák lehetnek, amelyek nemhogy nem védik meg, sokkal sérülékenyebbé teszik az autókat és az autósokat is.

A Pandora és a Cliford által gyártott, elsősorban az amerikai piacon népszerű, de Magyarországon is kapható okos riasztókat a Pen Test Partners nevű cég tesztelte, és számos biztonsági rést talált bennük. Ezeket jelezték is a gyártóknak, akik a friss verziókban már ki is javították azokat, ettől függetlenül azonban még lehetnek olyan bugok a rendszerben, amelyekre eddig nem derült fény. Előbbi cég ráadásul feltörhetetlennek hirdette rendszerét, ám ezt a jelzőt a hibák kiderítése óta már levette a honlapjáról. Jelenleg nagyjából 3 millió olyan autó lehet, amibe beszerelték a problémás eszközöket.

A Pandora terméke egy régóta ismert biztonsági hibát tartalmazott: az IDOR (Insecure Direct Object Reference) támadással úgy lehet a teljes adatbázis tartalmához hozzájutni, hogy a támadó egy tetszőleges paramétert küld a háttérrendszerhez. A sérülékenység kihasználásával az adminisztrátorok jelszava is ellopható, így az összes felhasználó fiókjához hozzá tudnának férni.

Emiatt bárki átírhatja az adott fiókhoz regisztrált e-mail-címet, új jelszót igényelhet, és már át is veheti az ellenőrzést az adott felhasználói fiók felett. Ha a támadó belép egy feltört fiókba, az alkalmazás használatával megtudhatja, hogy hol van a kiszemelt autó, milyen típusról van szó. Az alkalmazás segítségével ki-be lehet kapcsolni az ajtókat, az autó motorját pedig távolról el lehet indítani vagy leállítani.

Egy másik riasztó esetében távolról lehet a szerkezet mikrofonjához hozzáférni, így minden közeli beszélgetés lehallgatható.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

HVG

HVG-előfizetés digitálisan is!

Rendelje meg a HVG hetilapot papíron vagy digitálisan, és olvasson minket bárhol, bármikor!

hvg.hu Tech

Videó: 3 perc alatt lopnak el egy autót hekkerek

A hekkerek már azelőtt átveszik az irányítást a BMW új modellje fölött, hogy egyáltalán beleülnének. A gyártó azt mondja: a probléma nemcsak az övék, hanem a teljes iparágé.