Falhas em alarme colocaram milhões de automóveis em perigo

Foram corrigidas diversas falhas críticas de segurança em dois sistemas inteligentes de alarme que colocaram em perigo três milhões de veículos em todo o mundo. Quem revela este acontecimento é um novo estudo da Pen Test Partners.

Se exploradas, as vulnerabilidades teriam permitido que qualquer pessoa desligasse o alarme. Ao mesmo tempo poderiam seguir o veículo e desbloqueá-lo. É sem dúvida um problema complicado.

No entanto, os perigos não ficam por aqui.

Em alguns casos os investigadores conseguiram ouvir algumas conservas que ocorreram dentro do veículo, graças ao microfone que está embutido nos sistemas de alarme. Para além disso, foi também possível ligar o motor do carro ou desligá-lo com o carro em movimento.

alarme

As falhas afetaram os sistemas de alarme que permitem o controlo de veículos através de aplicações instaladas num smartphone.

Elas são feitas por duas empresas, nomeadamente a Pandora, da Rússia, e a Viper, com sede nos Estados Unidos. O primeiro fabricante até classificava os seus produtos como “inacessíveis”, de acordo com a Pen Test Partners.

Os investigadores descobriram que as APIs de ambas as aplicações (interfaces de programação de aplicações) não autenticavam corretamente algumas solicitações, principalmente solicitações para alterar a palavra-passe ou o endereço de e-mail. Isto abriu o caminho para um controlo total das contas.

“Ao interferir simplesmente nos parâmetros, é possível atualizar o endereço de e-mail registrado para a conta sem autenticação, enviar uma redefinição de palavra-passe para o endereço modificado (ou seja, do invasor) e assumir a conta”, escreveram os investigadores. Com a conta nas suas mãos, eles também foram capazes de assumir o controlo do carro ligado à mesma.

alarme

Ainda bem que foram uns investigadores de segurança a descobrir estas falhas no alarme

É que enquanto eles analisaram os sistemas de alarme à procura de uma prova de conceito, qualquer utilizador mal intencionado conseguiria configurar uma conta de teste para comprometer uma nova conta genuína.

“Ambos os produtos permitem que qualquer pessoa crie uma conta de teste/demonstração. Com essa conta de demonstração, é possível aceder a qualquer conta genuína e recuperar as suas informações “, de acordo com a Pen Test Partners, que classificou as falhas como fáceis de encontrar e também fáceis de corrigir “.

As duas empresas reconheceram rapidamente as falhas e resolveram-nos poucos dias depois de terem recebido os alertas para as vulnerabilidades.

Fonte

mm
Bruno Fonseca
Fundador da Leak, estreou-se no online em 1999 quando criou a CDRW.co.pt. Deu os primeiros passos no mundo da tecnologia com o Spectrum 48K e nunca mais largou os computadores. É viciado em telemóveis, tablets e gadgets.

Mais deste autor

Relacionadas

Publicidadespot_img

Últimos artigos

Google Fotos: a novidade mais esperada desapareceu sem data!

Em 2019 na conferência da Google conhecemos uma novidade que ia chegar ao Google Fotos. Esta novidade chamava-se Colorize e utilizava a IA para...

Não quer instalar o iOS 15? Veja como continuar a ter updates!

O iOS 15 chegou e veio cheio de funcionalidades. De facto, há muitas e boas razões para mudar! No entanto, há muitas pessoas que...

Gmail: recupere o espaço da sua conta em segundos!

O Gmail é sem dúvida uma excelente plataforma de email. No entanto, partilha do mesmo problema das outras plataformas. Os emails vão-se acumulando, especialmente...

Não perca nenhuma informação de última hora!

Registe-ne na Newsletter Leak e receba diariamente todas as informações no seu email!