Logo

English  Русский 
Валюта:
Каталог
Поиск

fig.1 tel+7(926)233-2862 tel-2+7(903)763-8605; skypesemnik88; Email: semnikg@gmail.com; map youtube

Версия для печати Версия для печати

Угнать за шесть секунд? Эксплуатация дополнительной автосигнализации (статья, рус.)

 
 
Голосов: 2
Оценить
На складе: 1

fig.1

Применение ретрансляторов для угона авто с системой безключевого доступа уже хорошо известно. Многие производители дополнительных автосигнализаций считают и заявляют, что они решили эту проблему.

Однако, здесь показано, что установка дополнительной автосигнализации может сделать ваш автомобиль ДАЖЕ МЕНЕЕ БЕЗОПАСНЫМ! Поскольку, такая автосигнализация облегчает возможность взлома системы безопасности авто и даже позволяет на ходу заглушить двигатель авто с последующим его угоном.

После покупки и установки нескольких «умных» автосигнализаций, которые обошлись примерно в USD5,000., на протестированные автомобили обнаружено, что безопасность двух крупнейших систем автосигнализации, устанавливаемой при предпродажной подготовке авто, имеет критические недостатки, которые позволяют посторонним:

- в режиме реального времени отследить гео-локацию авто

- определить марку авто и подробные данные о его владельце

- отключить сигнальную сирену

- разблокировать авто

- отключить или включить иммобилайзер

- иногда даже «убить» двигатель при движении авто

- автосигнализация одного из брендов позволяет прослушивать водителей через микрофон

- в зависимости от типа дополнительной автосигнализции иногда можно угнать авто.

Это касается примерно трех миллионов автомобилей во всем мире.


Вот видео, где охвачены основные ключевые моменты:

Угнать за шесть секунд? Эксплуатация дополнительной автосигнализации (рус.)

Что вызвало интерес?

Один из поставщиков автосигнализации Pandora объявил ее «не взламываемой». Конечно это неразумно, что могут подтвердить Джон МакАфи и Битфи. Для исследователей систем безопасности авто такое заявление  -  как красная тряпка для быка. Вот комментарий Битфи о том, когда что-то называют «не взломываемым»:

fig.2

«Честно говоря, вероятно,  кому-то было бы приятнее столкнуться с грузовиком, чем называть что-то «невзламываемым»

После высказанной им претензии, Pandora убрала такое заявление со своего сайта, но его скриншот успели сохранить, вот он:

fig.3

Система охраны:

Она не "взламывается"!

Ни разу не зарегистрировано ни одного случая обхода этой системы безопасности с помощью электронных средств. Для передачи сообщений, зашифрованных с помощью двустороннего диалогового кодирования с динамическими паролями и двойным шифрованием, в системе используется радиоканал с частотой 2.4 ГГц . Среднее рабочее расстояние в пределах города может быть до 1 км при хорошей скорости отклика.”

Были протестированы автосигнализации двух поставщиков: Viper (в Великобритании торговая марка Clifford) и Pandora. Это две крупнейшие марки автосигнализаций в мире.

Удивительно, но их уязвимостями оказались относительно простые небезопасные прямые ссылки на объекты (IDOR) в API.

Просто изменяя параметры, можно обновить адрес электронной почты, зарегистрированный в учетной записи без проверки подлинности, отправить сброс пароля на измененный адрес (т. е. на адрес злоумышленника) и получить новую учетную запись.

После этого, можно определить местоположение и проследить за конкретным авто, а затем заставить его остановиться и разблокировать двери, т.е. угон автомобиля и обезвреживание водителя становятся крайне просты.

Эти недостатки были найдены даже до установки автосигнализаций, но для пущей убедительности эти два вида автосигнализаций все же были приобретены и установлены на тестируемых авто.

Автосигнализация Viper Smart Start

fig.4

Вспомогательный сервис для автосигналиции   Viper Smart Start предоставляет сторонний разработчик CalAmp.

Уязвимость в IDOR проявляется при по запросе «изменить пользователя». Хотя все другие API правильно проверяют авторизацию, однако запрос / users / Update / xxxxx не проверяется должным образом.

Поэтому можно выдать злонамеренный запрос на изменение пароля и логина любого пользователя, что позволяет легко взаимодействовать с сигнализацией. Учетной запись законного пользователя оказывается теперь заблокированной и он не может получить доступ к своей автосигнализации.

Пример запроса:

fig.5

Вот скриншот изменяемого пароля:

fig.6


Уязвимость Пандоры:


Уязвимость заключается в IDOR для запроса POST: https://pro.p-on.ru/api/sputnik/workers?id=xxxx в параметре JSON «email».

fig.7

Следовательно, можно перезаписать существующую электронную почту на ту, которой вы управляете, и сбросить пароль. После сброса пароля можно просто войти в приложение и получить полный контроль. Такая же атака также может быть использована и против администраторов, которые могут предоставлять доступ к нескольким авто. Возможна также и значительная утечка данных в Интернете. Здесь нужно вместо «xxxxx» в https://pro.p-on.ru/workers/xxxxx просто ввести свой последовательный идентификатор пользователя.

fig.8

У авторов был доступ только к собственным учетным записям, но при необходимости любой желающий мог извлечь все пользовательские данные. Следует также отметить, что для получения учетной записи в системе нет необходимости в покупке обоих этих автосигнализаций. Обе они позволяют каждому создать тестовый демо-аккаунт, а уже с помощью него можно получить доступ к любой подлинной учетной записи и извлечь оттуда данные. 

Итак, что можно сделать?

В обоих случаях можно выбрать интересующий автомобиль. Как насчет хорошего и дорогого Range Rover:

fig.9

Далее, давайте найдем это в режиме реального времени.

fig.10.

fig.11

Итак, догоним его на своем авто...

fig.12

Теперь водителю нужно остановиться, чтобы выяснить причину. Мы уже установили иммобилайзер так, чтобы он не могли отъехать, и заблокировали ему доступ к учетной записи автосигнализации, чтобы нельзя было переустановить этот иммобилайзер.

Используя возможности приложения можно также сделать копию тревожного брелка: вместо него функционал позволяет использовать мобильный телефон. Теперь мы можем разблокировать  двери авто.

fig.13

Теперь; «Ключи пожалуйста!».

И угонщик уезжает с авто.

Убийство автомобильных двигателей на заказ( настоящий «дурдом»!)

Обнаружена возможность заглушить двигатель при движении авто, оборудованном автосигнализацией Viper. Рекламные ролики от Pandora также показывают, что это возможно, хотя, похоже, это не сработало на протестированном авто.

Задача авторов состоит в том, чтобы остановить угнанный автомобиль. Кроме того, используя уязвимость для перехвата учетной записи мобильного приложения, можно заглушить двигатель любого автомобиля, оснащенного этими автосигнализациями.

Такого функционала нет ​​в интерфейсе мобильного приложения Viper, но такая  поддержка есть в API.

Это очень важно для безопасности. Сколько несчастных случаев с участием автомобилей на скоростных дорогах может быть инициировано злоумышленниками.

Прослушка водителей – да, это реально

Сигнализация Pandora имеет возможность совершать SOS-звонки. Для этого установлен микрофон.

Из-за недостатка авторизации в API, доступ к нему и его активация можно осуществить удаленно.

Поэтому все автомобили и водители с установленной автосигнализацией можно незаметно прослушать. Шпионаж за миллионами водителей.

Контроль за CAN-шиной. О, МОЙ БОГ!

И Viper, и Pandora имеют возможность отправлять пользовательские сообщения о CAN. Здесь все становится немного страшнее ...

В последние годы автосигнализации имели возможность напрямую взаимодействовать с CAN. Это необходимо, учитывая уровень сложности современных транспортных средств, это также помогает сократить время подключения и установки сигнализации.

Аварийные сигналы более высокого уровня могут автоматически определять тип транспортного средства, на который они устанавливаются, и настраивать их набор команд в соответствии с используемым обменом сообщениями CAN. Это значительно ускоряет установку.

Однако, когда сигнализация не правильно распознает автомобиль или автоматически не поддерживается, тогда установщику требуется запрограммировать сигнализацию вручную.

Насколько можно понять, программирование автосигнализации должно выполняться локально с помощью приложения для ноутбука или (что более интересно) мобильного телефона с помощью Bluetooth. Хотя, как представляется, существуют методы для программирования «в эфире» через API, однако это плохо задокументировано и авторам не удалось это полностью перепроверить.

Работа этой области продолжается, но чтобы доказать это  каждый раз требуется отдельное авто средство с установленной автосигнализацией.

Однако уже доступен функционал запуска/остановки

Анализ прошивки, руководств и связанных с ними изменений позволили авторам обнаружить некоторые пугающие возможности. Поскольку это зависит от конкретного авто, то авторы не смогли все это протестировать.

Если у вас есть один из этих автомобилей с соответствующей сигнализацией Pandora, то дайте знать, есть ли там такая возможность. Понятно, что нужно быть осторожным и не делать это на дорогах общего пользования.

Mazda 6, Range Rover Sport, Kia Quoris, Toyota Fortuner, Mitsubishi Pajero, Toyota Prius 50 и RAV4 - все они, похоже, обладают не задокументированным функционалом для удаленной регулировки скорости круиз-контроля, имеющемся в API сигнализации!

Некоторые обходные пути функционала запуска/остановки требуют также отправки ложного сообщения о педали тормоза, имитируя водителя, нажимающего на педаль и запускающего автомобиль.

Раскрытие уязвимостей

Авторы связались с вовлеченными в это тестирование поставщиками автосигнализаций и дали им 7 дней на устранение или исправление уязвимых API. Это намного меньше, чем 90 дней, которые обычно предлагаются поставщикам. Почему?

Уязвимости было легко обнаружить и легко исправить, а владельцы могут управлять автосигнализаций без API. Вместо мобильного приложения можно использовать брелок, поставляемый для радиочастотной автосигнализации. Все, что пользователь потеряет в результате отказа от API - это возможность удаленно завести автомобиль и определить его местоположение.

Другие могли тоже изучить «умные» автосигнализации, поэтому есть высокая вероятность того, что профессиональные угонщики уже знают об этом.

Возможность самим справиться с этими атаками  есть и у владельцев авто, где установлены такие автосигнализации, но это не желательно. Можно лишь извлечь SIM-карту из модуля автосигнализации в авто, хотя и это может потребовать некоторых навыков работы с электроникой и может повлиять на гарантии.

Представитель Pandora в Великобритании ответил примерно через 48 часов, а его штаб-квартира в Москве быстро приняла меры. IDOR был переустановлен за ночь и на следующее утро авторы убедись в этом

Viper отреагировал быстрее, но исправление уязвимости заняло немного больше времени и есть подтверждение тоо, что это было исправлено.

Важно отметить, что авторы не провели полную проверку API; для этого потребовалось бы дополнительное разрешение, которого у них не было, поэтому не известно, есть ли другие уязвимости в API.

Тем не менее, реакция обоих поставщиков была довольно хорошей. Они признали замечания, оперативно отреагировали и немедленные предприняли меры и проверили все это. Хороший урок для всех поставщиков IoT-устройств!

Заключение

Показано, как легко  во многих случаях использовать IDOR в IoT API. Впервые, стал наглядным потенциал и масштаб такой атаки.

Можно надеяться, что производители автосигнализаций, призванных сделать наши автомобили более безопасными, будут осуществлять тщательную проверку, прежде чем выпускать свою продукцию на рынок.

Эти автосигнализации довольно дорогие и обычно устанавливаются на автомобили высокого класса, часто с системами безключевого доступа. По самым скромным оценкам рынок продаж таких авто составляет примерно  150 миллиардов долларов.

Эти автосигнализации не обеспечили никакой дополнительной защиты от ретрансляторов и, прежде чем были устранены их уязвимости, они фактически подвергли владельцев авто дополнительным атакам и поставили под угрозу их безопасность.

Прежде чем авторы связались с ними, производители непреднамеренно подвергли угону около 3 миллионов автомобилей, а их владельцев - знакомству с угонщиками.

Примечание

This is a Russian translation of the next article:

©Copyrights: https://www.pentestpartners.com/security-blog/gone-in-six-seconds-exploiting-car-alarms/

Есть вопросы?

Вы можете задать нам вопрос(ы) с помощью следующей формы.

Имя:

Email

Пожалуйста, сформулируйте Ваши вопросы относительно Угнать за шесть секунд? Эксплуатация дополнительной автосигнализации (статья, рус.):


Введите число, изображенное на рисунке
code

(пусто)
 
Блог / Новости
Голосование
Причина отказа от заказа? - The reason for the refusal of the order?

ssl

fig.

Visa

fig.



© SHOP-AUTO-PODOLSK.RU.
Яндекс.Метрика Анализ сайта shop-auto-podolsk.ru
Работает на основе WebAsyst Shop-Script