Expertos en seguridad de Pen Test Partners, descubrieron varias vulnerabilidades en dos sistemas de alarma de coches inteligentes que ponen en riesgo de piratería a tres millones de vehículos en todo el mundo.
Las fallas pueden ser aprovechadas por los atacantes para desactivar la alarma, así como para rastrear y desbloquear los vehículos que la utilizan, o para arrancar y parar el motor incluso cuando el coche está en movimiento. Los expertos también demostraron que es posible espiar las conversaciones de los conductores a través de un micrófono integrado en uno de los sistemas de alarma del coche,
“Estas alarmas pueden exponerlo a un secuestro, pueden permitir que su motor se detenga mientras conduce e incluso puede ser posible robar vehículos como resultado de ello”, dice el informe publicado por Pen Test Partners.
Una marca de alarma permitió a los conductores ser “fisgoneados” a través de un micrófono. Dependiendo de la alarma, también puede ser posible robar vehículos.
Los sistemas de alarma defectuosos, son fabricados por la empresa rusa Pandora y la empresa estadounidense Viper.
Los investigadores descubrieron que las APIs para ambas aplicaciones no lograron autenticar las solicitudes, lo que permitió a los atacantes hacerse cargo de las cuentas de los clientes debido a problemas de referencias directas inseguras a objetos (IDORs).
“Simplemente, manipulando los parámetros, puede actualizarse la dirección de correo electrónico registrada en la cuenta sin necesidad de autenticarse, enviar un restablecimiento de contraseña a la dirección modificada (es decir, la del atacante) y hacerse cargo de la cuenta”, prosiguen los expertos.
Una vez que el atacante tenía el control de la cuenta, podía acceder al vehículo asociado. Los expertos también descubrieron que era posible para ambos sistemas de alarma de coches crear una cuenta de prueba que utilizaban para hackear una cuenta auténtica.
“Ambos productos permiten a cualquiera crear una cuenta de prueba/demo. Con esa cuenta demo es posible acceder a cualquier cuenta genuina y recuperar sus datos”, afirma Pen Test Partners.
Estas alarmas son costosas y suelen instalarse en vehículos de gama alta, a menudo aquellos con entrada sin llave. Un cálculo conservador sugiere que se expusieron vehículos por valor de 150 mil millones de dólares.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian