Foram corrigidas diversas falhas críticas de segurança em dois sistemas inteligentes de alarme que colocaram em perigo três milhões de veículos em todo o mundo. Quem revela este acontecimento é um novo estudo da Pen Test Partners.
Se exploradas, as vulnerabilidades teriam permitido que qualquer pessoa desligasse o alarme. Ao mesmo tempo poderiam seguir o veículo e desbloqueá-lo. É sem dúvida um problema complicado.
No entanto, os perigos não ficam por aqui.
Em alguns casos os investigadores conseguiram ouvir algumas conservas que ocorreram dentro do veículo, graças ao microfone que está embutido nos sistemas de alarme. Para além disso, foi também possível ligar o motor do carro ou desligá-lo com o carro em movimento.
As falhas afetaram os sistemas de alarme que permitem o controlo de veículos através de aplicações instaladas num smartphone.
Elas são feitas por duas empresas, nomeadamente a Pandora, da Rússia, e a Viper, com sede nos Estados Unidos. O primeiro fabricante até classificava os seus produtos como “inacessíveis”, de acordo com a Pen Test Partners.
Os investigadores descobriram que as APIs de ambas as aplicações (interfaces de programação de aplicações) não autenticavam corretamente algumas solicitações, principalmente solicitações para alterar a palavra-passe ou o endereço de e-mail. Isto abriu o caminho para um controlo total das contas.
“Ao interferir simplesmente nos parâmetros, é possível atualizar o endereço de e-mail registrado para a conta sem autenticação, enviar uma redefinição de palavra-passe para o endereço modificado (ou seja, do invasor) e assumir a conta”, escreveram os investigadores. Com a conta nas suas mãos, eles também foram capazes de assumir o controlo do carro ligado à mesma.
Ainda bem que foram uns investigadores de segurança a descobrir estas falhas no alarme
É que enquanto eles analisaram os sistemas de alarme à procura de uma prova de conceito, qualquer utilizador mal intencionado conseguiria configurar uma conta de teste para comprometer uma nova conta genuína.
“Ambos os produtos permitem que qualquer pessoa crie uma conta de teste/demonstração. Com essa conta de demonstração, é possível aceder a qualquer conta genuína e recuperar as suas informações “, de acordo com a Pen Test Partners, que classificou as falhas como fáceis de encontrar e também fáceis de corrigir “.
As duas empresas reconheceram rapidamente as falhas e resolveram-nos poucos dias depois de terem recebido os alertas para as vulnerabilidades.
Receba as notícias Leak no seu e-mail. Carregue aqui para se registar. É grátis!