Dois sistemas populares de alarme de carro têm vulnerabilidades de segurança que permitiram aos pesquisadores rastrear remotamente, seqüestrar e controlar veículos com os alarmes instalados. Os sistemas, construídos pela Pandora, fabricante de alarmes russos, e pela Viper, da Califórnia, ou Clifford, no Reino Unido, estavam vulneráveis ??a uma API de servidor facilmente manipulável. A descoberta foi feita por pesquisadores da Pen Test Partners, uma empresa britânica de segurança cibernética. Em suas descobertas, a API poderia ser usada para assumir o controle da conta de usuário de um sistema de alarme – e de seu veículo.
É porque os sistemas de alarme vulneráveis ??podem ser induzidos a redefinir uma senha da conta. A API não estava conseguindo verificar se era uma solicitação autorizada, permitindo que os pesquisadores fizessem login.
Embora os pesquisadores tenham comprado alarmes para testar, eles disseram que “qualquer pessoa” poderia criar uma conta de usuário para acessar qualquer conta genuína ou extrair todos os dados de usuários das empresas.
Três milhões de carros atingidos
Os pesquisadores disseram que cerca de três milhões de carros em todo o mundo estavam vulneráveis ??às falhas, desde que corrigidos.
Em um exemplo demonstrando o hack, os pesquisadores localizaram geograficamente um veículo alvo, rastrearam em tempo real, desligaram o motor remotamente e forçaram o carro a parar e destravar as portas.
Os pesquisadores disseram que era “muito fácil” sequestrar um veículo vulnerável. Pior, foi possível identificar alguns modelos de carros, tornando os hijacks direcionados ou veículos high-end ainda mais fáceis.
Os pesquisadores também descobriram que podiam ouvir o microfone embutido no carro, integrado ao sistema de alarme Pandora para fazer chamadas para os serviços de emergência ou assistência na estrada.
Representantes se pronunciam
Ken Munro, fundador da Pen Test Partners, disse ao TechCrunch que este era o seu “maior” projeto.
Os pesquisadores entraram em contato com Pandora e Viper com um período de divulgação de sete dias, dada a gravidade das vulnerabilidades. Ambas as empresas responderam rapidamente para corrigir as falhas.
Quando contactado, Chris Pearson, da Viper, confirmou que a vulnerabilidade foi corrigida. “Se usado para fins maliciosos, [a falha] pode permitir que as contas dos clientes sejam acessadas sem autorização”.
A Viper culpou uma atualização recente do sistema por um provedor de serviços pelo bug e disse que o problema foi “rapidamente corrigido”.
Acreditamos que nenhum dado do cliente foi exposto e que nenhuma conta foi acessada sem autorização durante o curto período em que esta vulnerabilidade existiu”, disse Pearson.
Porém, não forneceu evidências de como a empresa chegou a essa conclusão.
Em um longo e-mail, Antony Noto, da Pandora, também se pronunciou sobre a pesquisa.
A criptografia do sistema não foi quebrada, os controles remotos não foram hackeados [e] as tags não foram clonadas”, disse ele. Uma falha de software permitiu o acesso temporário ao dispositivo por um curto período de tempo, que agora foi abordado.
A pesquisa segue o trabalho do ano passado por Vangelis Stykas no Calamp, um provedor de telemática que serve de base para o aplicativo móvel da Viper. Stykas, que mais tarde se juntou ao Pen Test Partners e também trabalhou no projeto de alarme de carro, descobriu que o aplicativo estava usando credenciais codificadas para acessar um banco de dados central, que dava acesso remoto a um veículo conectado.