Beveiligingslek in twee alarmsystemen raakte 3 miljoen auto's

Een beveiligingslek in twee populaire alarmsystemen die in 3 miljoen auto's geïnstalleerd zijn maakten het onder andere mogelijk voor onderzoekers om sommige rijdende voertuigen op elk moment te stoppen en bestuurders

af te luisteren. Het gaat om alarmsystemen van fabrikanten Viper en Pandora.

De laatstgenoemde claimde op de eigen website zelfs dat het systeem "unhackable" was. Een claim die inmiddels is verwijderd. De alarmsystemen zijn naast een sleutelhanger ook via een app te bedienen. Zo kan een eigenaar zijn auto openen, op slot doen of bijvoorbeeld de locatie zien. In het geval van diefstal is het bij bepaalde modellen mogelijk om de auto te stoppen. Verder blijkt dat het Pandro-alarm over een ingebouwde microfoon beschikt voor noodoproepen.

Onderzoekers van securitybedrijf Pen Test Partners ontdekten in de programmeerinterface (API) van de apps een direct object reference (IDOR) kwetsbaarheid. Door het aanpassen van enkele parameters was het mogelijk om zonder authenticatie het e-mailadres aan te passen dat voor een account was geregistreerd. Vervolgens was het mogelijk een wachtwoordreset aan te vragen en zo toegang tot het account te krijgen.

Via het account was het mogelijk om auto's in real time te lokaliseren, gegevens van de auto en eigenaar te achterhalen, het alarm uit te schakelen, de auto te openen, in sommige gevallen de motor uit te schakelen, de microfoon op afstand te benaderen en zo bestuurders af te luisteren en afhankelijk van het alarm ook om auto's te stelen.

De onderzoekers waarschuwden de fabrikanten en gaven hen 7 dagen de tijd om de kwetsbare API's aan te passen of uit de lucht te halen. Normaliter geeft Pen Test Partners bedrijven altijd 90 dagen de tijd om een kwetsbaarheid te verhelpen. In dit geval werd hiervan afgeweken. "De kwetsbaarheden waren eenvoudig te vinden, eenvoudig te verhelpen en eigenaren hadden de alarmsystemen zonder de API kunnen bedienen", zegt onderzoeker Ken Munro.

Het alarmsysteem is namelijk ook via een sleutelhanger te bedienen en door het offline gaan van de API zouden gebruikers alleen de mogelijkheid verliezen om de auto op afstand te kunnen starten en de locatie te zien. Beide fabrikanten reageerden snel en hebben het probleem inmiddels verholpen.

Image

Op deze website gebruikt VM4 cookies en vergelijkbare technieken om de website goed te kunnen laten werken en om te analyseren hoe de website wordt gebruikt.