Secondo quanto riportato da Pen Test Partners su due sistemi di allarme per auto intelligenti sono stati risolti alcuni difetti critici di sicurezza che avrebbero messo a rischio oltre tre milioni di veicoli nel mondo.
Se sfruttate, queste vulnerabilità avrebbero permesso a chiunque di disattivare l’allarme, oltre a tracciare e sbloccare l’auto su cui era installato. In alcuni casi, i ricercatori sono stati in grado di spiare le conversazioni nei veicoli attraverso un microfono incorporato in uno dei sistemi di allarme e persino di avviare il motore dell’auto o di spegnerlo mentre questa si muoveva.
I difetti hanno interessato i sistemi antifurto che possono essere controllati attraverso app per smartphone sviluppate da due società: la russa Pandora, e la Viper, con sede negli Stati Uniti (e con il marchio Clifford nel Regno Unito). La prima aveva addirittura definito la propria soluzione “a prova di hacker”, come riferito dagli stessi esperti di Pen Test Partners.
Facile da trovare, facile da risolvere
I ricercatori hanno scoperto che entrambe le API delle app (le interfacce di programmazione delle applicazioni) non sono riuscite a processare correttamente alcune richieste, in particolare quelle per cambiare la password o l’indirizzo email. Ciò ha spianato la strada per un takeover completo dell’account.
“Semplicemente manomettendo i parametri, si può aggiornare l’indirizzo email registrato nell’account senza doversi autenticare, inviare una password resettata all’indirizzo modificato (cioè quello dell’attaccante) e quindi sequestrare l’account”, hanno riportato i white hat dell’azienda di test. Una volta ottenuto il pieno accesso all’account, gli hacker etici sono stati in grado di prendere il controllo della macchina a cui era associato.
Inoltre, anche se i ricercatori hanno effettivamente acquistato questi sistemi di allarme per poter effettuare “una prova completa”, affermano che chiunque avrebbe potuto semplicemente creare un account di prova per comprometterne uno autentico. “Entrambi i prodotti consentono a chiunque di creare un account di prova / demo. Con questo account demo è possibile accedere a qualsiasi account originale e recuperarne i dettagli “, come riferito nel rapporto di Pen Test Partners, in cui si definiscono i bug identificati come “facili da trovare, facili da risolvere “.
Si dà comunque merito alle due società di aver riconosciuto l’esito dei test e di aver prontamente rilasciato un aggiornamento per risolvere le vulnerabilità segnalate dai ricercatori.
Lascia un commento