Исследователи безопасности обнаружили, что две популярные автомобильные сигнализации исправили уязвимости, которые позволяли им удаленно отслеживать, угонять и контролировать транспортные средства с установленными сигнализациями.
По словам исследователей из британской компании Pen Test Partners, разработанные российской компанией Pandora и калифорнийской компанией Viper системы были уязвимы для легко манипулируемого серверного API.
Уязвимости, обнаруженные в двух разных автомобильных сигнализациях, сделали три миллиона автомобилей уязвимыми для угона по всему миру.
Исследователи безопасности обнаружили, что две популярные автомобильные сигнализации исправили уязвимости, которые позволяли им удаленно отслеживать, угонять и контролировать транспортные средства с установленными сигнализациями.
По словам исследователей из британской компании Pen Test Partners, разработанные российской компанией Pandora и калифорнийской компанией Viper системы были уязвимы для легко манипулируемого серверного API.
Их результаты показали, что API-интерфейс можно использовать для получения контроля над учетной записью пользователя системы сигнализации и самим транспортным средством. Уязвимые системы могут быть обмануты, чтобы сбросить пароль учетной записи, потому что API не смог проверить, был ли это авторизованный запрос, что позволило исследователям войти в систему.
Исследователи также обнаружили, что они могут слушать что происходит в автомобиле, через встроенный микрофон системы Pandora, которая служит для звонков в службы экстренной помощи или помощи на дороге.
Хотя исследователи купили сигнализацию для тестирования, они сказали, что «любой» может создать учетную запись пользователя для доступа к любой подлинной учетной записи или извлечь все пользовательские данные компаний.
По данным Pen Test Parthners, около трех миллионов автомобилей во всем мире были уязвимы для с этими недостатками, которые недавно были исправлены.
, разработанные российской компанией Pandora и калифорнийской компанией Viper системы были уязвимы для легко манипулируемого серверного API.
Их результаты показали, что API-интерфейс можно использовать для получения контроля над учетной записью пользователя системы сигнализации и самим транспортным средством. Уязвимые системы могут быть обмануты, чтобы сбросить пароль учетной записи, потому что API не смог проверить, был ли это авторизованный запрос, что позволило исследователям войти в систему.
Исследователи также обнаружили, что они могут слушать что происходит в автомобиле, через встроенный микрофон системы Pandora, которая служит для звонков в службы экстренной помощи или помощи на дороге.
Хотя исследователи купили сигнализацию для тестирования, они сказали, что «любой» может создать учетную запись пользователя для доступа к любой подлинной учетной записи или извлечь все пользовательские данные компаний.
По данным Pen Test Parthners, около трех миллионов автомобилей во всем мире были уязвимы для с этими недостатками, которые недавно были исправлены.
