image

Beveiligingslek in twee alarmsystemen raakte 3 miljoen auto's

vrijdag 8 maart 2019, 15:24 door Redactie, 6 reacties

Een beveiligingslek in twee populaire alarmsystemen die in 3 miljoen auto's geïnstalleerd zijn maakten het onder andere mogelijk voor onderzoekers om sommige rijdende voertuigen op elk moment te stoppen en bestuurders af te luisteren. Het gaat om alarmsystemen van fabrikanten Viper en Pandora.

De laatstgenoemde claimde op de eigen website zelfs dat het systeem "unhackable" was. Een claim die inmiddels is verwijderd. De alarmsystemen zijn naast een sleutelhanger ook via een app te bedienen. Zo kan een eigenaar zijn auto openen, op slot doen of bijvoorbeeld de locatie zien. In het geval van diefstal is het bij bepaalde modellen mogelijk om de auto te stoppen. Verder blijkt dat het Pandro-alarm over een ingebouwde microfoon beschikt voor noodoproepen.

Onderzoekers van securitybedrijf Pen Test Partners ontdekten in de programmeerinterface (API) van de apps een direct object reference (IDOR) kwetsbaarheid. Door het aanpassen van enkele parameters was het mogelijk om zonder authenticatie het e-mailadres aan te passen dat voor een account was geregistreerd. Vervolgens was het mogelijk een wachtwoordreset aan te vragen en zo toegang tot het account te krijgen.

Via het account was het mogelijk om auto's in real time te lokaliseren, gegevens van de auto en eigenaar te achterhalen, het alarm uit te schakelen, de auto te openen, in sommige gevallen de motor uit te schakelen, de microfoon op afstand te benaderen en zo bestuurders af te luisteren en afhankelijk van het alarm ook om auto's te stelen.

De onderzoekers waarschuwden de fabrikanten en gaven hen 7 dagen de tijd om de kwetsbare API's aan te passen of uit de lucht te halen. Normaliter geeft Pen Test Partners bedrijven altijd 90 dagen de tijd om een kwetsbaarheid te verhelpen. In dit geval werd hiervan afgeweken. "De kwetsbaarheden waren eenvoudig te vinden, eenvoudig te verhelpen en eigenaren hadden de alarmsystemen zonder de API kunnen bedienen", zegt onderzoeker Ken Munro.

Het alarmsysteem is namelijk ook via een sleutelhanger te bedienen en door het offline gaan van de API zouden gebruikers alleen de mogelijkheid verliezen om de auto op afstand te kunnen starten en de locatie te zien. Beide fabrikanten reageerden snel en hebben het probleem inmiddels verholpen.

Image

Reacties (6)
10-03-2019, 10:35 door Anoniem
Werkelijk de doos van Pandora dus alle duveltjes springen er uit of erin .
10-03-2019, 15:59 door Anoniem
Memories. Op de nieuwe ferrari moest een tracker. Want anders kon die niet verzekerd worden. Dat kostte dan iets van 2.500 en die zat onder het handschoenenkastje. Toen kwam er een lambo bij, weer het zelfde gedoe. Maar er was een firma uit Ierland die wat betaalbaarders had. Maar ook zelf zei, pas goed zelf op, we zien de gepikte autos nog steeds vrolijk rondrijden in Afrika maar we kunnen niks doen. De contact onderbreker is uitgezet. Het enige wat je nog ziet is hoe iemand daar lachend door de buurt rijdt met je gepikte spullen.

De techniek kon dat niet oplossen. De oplossing lag ook niet in de techniek. Hoe mooi ze ook lullen, sommige dingen kunnen ze nu niet en morgen ook niet. De oplossing was geen debiel dure autos meer kopen. Best leuk om een tijdje mee te maken, maar op tijd mee kappen. Want met IT gaat de wereld niet gered worden. Daar is veel wizzard of Oz bij. Wat je pas ziet als je het gordijn rond de wizzard wegtrekt.

Als je rondrijdt in een goedkoop dieseltje, waar rondom wat deukjes in zitten. Dat wil niemand pikken, iedereen geeft je voorrang. En je houdt je centen in je zak. Er is vooralsnog geen IT'er die dat concept kan verbeteren. Met name daar blijkt de grens van hun capaciteiten.
10-03-2019, 22:08 door Anoniem
versnellingsbakslot laten monteren naast je ingebouwde alarmsysteem,
Wel de dicipline hebben om iedere x bij het parkeren v/d auto het vsb-slot sleuteltje eruit te halen.
11-03-2019, 11:15 door Anoniem
Niemand haalt het in zijn hoofd om mijn barrel uit 1993 te stelen. Terwijl je waarschijnlijk met enkel een schroevendraaier de auto al kunt jatten.
12-03-2019, 06:58 door Anoniem
Door Anoniem: Memories. Op de nieuwe ferrari moest een tracker. Want anders kon die niet verzekerd worden. Dat kostte dan iets van 2.500 en die zat onder het handschoenenkastje. Toen kwam er een lambo bij, weer het zelfde gedoe. Maar er was een firma uit Ierland die wat betaalbaarders had. Maar ook zelf zei, pas goed zelf op, we zien de gepikte autos nog steeds vrolijk rondrijden in Afrika maar we kunnen niks doen. De contact onderbreker is uitgezet. Het enige wat je nog ziet is hoe iemand daar lachend door de buurt rijdt met je gepikte spullen.

De techniek kon dat niet oplossen. De oplossing lag ook niet in de techniek. Hoe mooi ze ook lullen, sommige dingen kunnen ze nu niet en morgen ook niet. De oplossing was geen debiel dure autos meer kopen. Best leuk om een tijdje mee te maken, maar op tijd mee kappen. Want met IT gaat de wereld niet gered worden. Daar is veel wizzard of Oz bij. Wat je pas ziet als je het gordijn rond de wizzard wegtrekt.

Als je rondrijdt in een goedkoop dieseltje, waar rondom wat deukjes in zitten. Dat wil niemand pikken, iedereen geeft je voorrang. En je houdt je centen in je zak. Er is vooralsnog geen IT'er die dat concept kan verbeteren. Met name daar blijkt de grens van hun capaciteiten.

Als je een ferrari en lambo kunt betalen heb je ook een huis met garage. Anders ben je denk ik ook niet echt goed bezig.
Geen IT'er die dat kan veranderen.

IT is er om de mens en processen te ondersteunen, niet andersom.
13-03-2019, 23:37 door Anoniem
Door Anoniem:
Door Anoniem: Memories. Op de nieuwe ferrari moest een tracker. Want anders kon die niet verzekerd worden. Dat kostte dan iets van 2.500 en die zat onder het handschoenenkastje. Toen kwam er een lambo bij, weer het zelfde gedoe. Maar er was een firma uit Ierland die wat betaalbaarders had. Maar ook zelf zei, pas goed zelf op, we zien de gepikte autos nog steeds vrolijk rondrijden in Afrika maar we kunnen niks doen. De contact onderbreker is uitgezet. Het enige wat je nog ziet is hoe iemand daar lachend door de buurt rijdt met je gepikte spullen.

De techniek kon dat niet oplossen. De oplossing lag ook niet in de techniek. Hoe mooi ze ook lullen, sommige dingen kunnen ze nu niet en morgen ook niet. De oplossing was geen debiel dure autos meer kopen. Best leuk om een tijdje mee te maken, maar op tijd mee kappen. Want met IT gaat de wereld niet gered worden. Daar is veel wizzard of Oz bij. Wat je pas ziet als je het gordijn rond de wizzard wegtrekt.

Als je rondrijdt in een goedkoop dieseltje, waar rondom wat deukjes in zitten. Dat wil niemand pikken, iedereen geeft je voorrang. En je houdt je centen in je zak. Er is vooralsnog geen IT'er die dat concept kan verbeteren. Met name daar blijkt de grens van hun capaciteiten.

Als je een ferrari en lambo kunt betalen heb je ook een huis met garage. Anders ben je denk ik ook niet echt goed bezig.
Geen IT'er die dat kan veranderen.

IT is er om de mens en processen te ondersteunen, niet andersom.

ook een huis met garage ... met app om de garage op afstand te openen en de dief de keuze te geven tussen lambo, jeep of de boodschappenwagen (of allemaal tijdens een jatparty).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.