Beveiligingslek in twee alarmsystemen raakte 3 miljoen auto's
Een beveiligingslek in twee populaire alarmsystemen die in 3 miljoen auto's geïnstalleerd zijn maakten het onder andere mogelijk voor onderzoekers om sommige rijdende voertuigen op elk moment te stoppen en bestuurders af te luisteren. Het gaat om alarmsystemen van fabrikanten Viper en Pandora.
De laatstgenoemde claimde op de eigen website zelfs dat het systeem "unhackable" was. Een claim die inmiddels is verwijderd. De alarmsystemen zijn naast een sleutelhanger ook via een app te bedienen. Zo kan een eigenaar zijn auto openen, op slot doen of bijvoorbeeld de locatie zien. In het geval van diefstal is het bij bepaalde modellen mogelijk om de auto te stoppen. Verder blijkt dat het Pandro-alarm over een ingebouwde microfoon beschikt voor noodoproepen.
Onderzoekers van securitybedrijf Pen Test Partners ontdekten in de programmeerinterface (API) van de apps een direct object reference (IDOR) kwetsbaarheid. Door het aanpassen van enkele parameters was het mogelijk om zonder authenticatie het e-mailadres aan te passen dat voor een account was geregistreerd. Vervolgens was het mogelijk een wachtwoordreset aan te vragen en zo toegang tot het account te krijgen.
Via het account was het mogelijk om auto's in real time te lokaliseren, gegevens van de auto en eigenaar te achterhalen, het alarm uit te schakelen, de auto te openen, in sommige gevallen de motor uit te schakelen, de microfoon op afstand te benaderen en zo bestuurders af te luisteren en afhankelijk van het alarm ook om auto's te stelen.
De onderzoekers waarschuwden de fabrikanten en gaven hen 7 dagen de tijd om de kwetsbare API's aan te passen of uit de lucht te halen. Normaliter geeft Pen Test Partners bedrijven altijd 90 dagen de tijd om een kwetsbaarheid te verhelpen. In dit geval werd hiervan afgeweken. "De kwetsbaarheden waren eenvoudig te vinden, eenvoudig te verhelpen en eigenaren hadden de alarmsystemen zonder de API kunnen bedienen", zegt onderzoeker Ken Munro.
Het alarmsysteem is namelijk ook via een sleutelhanger te bedienen en door het offline gaan van de API zouden gebruikers alleen de mogelijkheid verliezen om de auto op afstand te kunnen starten en de locatie te zien. Beide fabrikanten reageerden snel en hebben het probleem inmiddels verholpen.
De techniek kon dat niet oplossen. De oplossing lag ook niet in de techniek. Hoe mooi ze ook lullen, sommige dingen kunnen ze nu niet en morgen ook niet. De oplossing was geen debiel dure autos meer kopen. Best leuk om een tijdje mee te maken, maar op tijd mee kappen. Want met IT gaat de wereld niet gered worden. Daar is veel wizzard of Oz bij. Wat je pas ziet als je het gordijn rond de wizzard wegtrekt.
Als je rondrijdt in een goedkoop dieseltje, waar rondom wat deukjes in zitten. Dat wil niemand pikken, iedereen geeft je voorrang. En je houdt je centen in je zak. Er is vooralsnog geen IT'er die dat concept kan verbeteren. Met name daar blijkt de grens van hun capaciteiten.
Wel de dicipline hebben om iedere x bij het parkeren v/d auto het vsb-slot sleuteltje eruit te halen.
De techniek kon dat niet oplossen. De oplossing lag ook niet in de techniek. Hoe mooi ze ook lullen, sommige dingen kunnen ze nu niet en morgen ook niet. De oplossing was geen debiel dure autos meer kopen. Best leuk om een tijdje mee te maken, maar op tijd mee kappen. Want met IT gaat de wereld niet gered worden. Daar is veel wizzard of Oz bij. Wat je pas ziet als je het gordijn rond de wizzard wegtrekt.
Als je rondrijdt in een goedkoop dieseltje, waar rondom wat deukjes in zitten. Dat wil niemand pikken, iedereen geeft je voorrang. En je houdt je centen in je zak. Er is vooralsnog geen IT'er die dat concept kan verbeteren. Met name daar blijkt de grens van hun capaciteiten.
Als je een ferrari en lambo kunt betalen heb je ook een huis met garage. Anders ben je denk ik ook niet echt goed bezig.
Geen IT'er die dat kan veranderen.
IT is er om de mens en processen te ondersteunen, niet andersom.
De techniek kon dat niet oplossen. De oplossing lag ook niet in de techniek. Hoe mooi ze ook lullen, sommige dingen kunnen ze nu niet en morgen ook niet. De oplossing was geen debiel dure autos meer kopen. Best leuk om een tijdje mee te maken, maar op tijd mee kappen. Want met IT gaat de wereld niet gered worden. Daar is veel wizzard of Oz bij. Wat je pas ziet als je het gordijn rond de wizzard wegtrekt.
Als je rondrijdt in een goedkoop dieseltje, waar rondom wat deukjes in zitten. Dat wil niemand pikken, iedereen geeft je voorrang. En je houdt je centen in je zak. Er is vooralsnog geen IT'er die dat concept kan verbeteren. Met name daar blijkt de grens van hun capaciteiten.
Als je een ferrari en lambo kunt betalen heb je ook een huis met garage. Anders ben je denk ik ook niet echt goed bezig.
Geen IT'er die dat kan veranderen.
IT is er om de mens en processen te ondersteunen, niet andersom.
ook een huis met garage ... met app om de garage op afstand te openen en de dief de keuze te geven tussen lambo, jeep of de boodschappenwagen (of allemaal tijdens een jatparty).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
