«Buzib bo’lmaydigan» o’g’irlikka qarshi signalizatsiyalar avtomobil o’g’rilariga erkinlik beradi
Viper va Pandora avtomobil signalizatsiya tizimining aqlli o’g’irlikka qarshi signalizatsiyalarida jiddiy zaifliklar aniqlandi.
Aqlli qurilma ishlab chiqaruvchilari esda tutishlari kerak: mahsulot nomiga «buzib bo’lmaydigan» sifatini qo’shish, albatta, uni shunday qilmaydi. Bunga ikkita yirik ishlab chiqaruvchi – Viper va Pandora avtomobil signalizatsiya tizimining «aqlli» o’g’irlikka qarshi signalizatsiyalari yorqin misol bo’la oladi, ular aslida «aqlli» emasligi ma’lum bo’ldi. Pen Test Partners mutaxassislari Viper va Pandora avtomobil signalizatsiya tizimini sinovdan o’tkazdilar va ba’zi umidsizlikka uchragan xulosalarga kelishdi. Tizimlarni buzish nafaqat avtomobil va egasi ma’lumotlarini o’g’irlashga imkon beradi, balki avtomobilni ochish, signalizatsiyani o’chirish, mikrofonlarni buzish, immobilizatorni o’chirish va avtomobilning harakatlarini kuzatish imkonini beradi. Ba’zi hollarda, tajovuzkorlar dvigatel ishlayotgan paytda uni o’chirib qo’yishlari mumkin, bu esa oqibatlari halokatli bo’lishi mumkin bo’lgan baxtsiz hodisaga olib kelishi mumkin.
Viper ham, Pandora avtomobil signalizatsiya tizimi ham o’zlarining o’g’irlikka qarshi signalizatsiyalarini aqlli tizimlar sifatida sotadilar va Viper hatto ularni «buzib bo’lmaydigan» deb ataydi (bu atama endi ishlab chiqaruvchining veb-saytidan olib tashlandi). Biroq, Pen Test Partners jamoasi buning aksini osongina isbotladi. Tadqiqotchilar tizimlarning API-larida oddiy va aniq zaifliklarni, masalan, xavfsiz bo’lmagan to’g’ridan-to’g’ri obyekt havolalarini (IDOR) aniqladilar, bu ularga sozlamalarni o’zgartirish, foydalanuvchi ma’lumotlarini qayta tiklash, hisoblarni buzish va boshqa ko’p narsalarni amalga oshirish imkonini berdi.
Sinovlar shuni ko’rsatdiki, Viper uchinchi tomon kompaniyasi CalAmp ning orqa tizimidan foydalanadi. «Modify user» API parametridagi zaiflik ma’lumotlarni yetarlicha tekshirmaslik natijasida yuzaga keladi, bu esa tajovuzkorga foydalanuvchi akkauntini buzib kirishga imkon beradi. Xuddi shu zaiflik avtomobil dvigatelining ham buzilishiga olib keladi.
Pandora misolida, IDOR zaifligi POST so’rovlari bilan bog’liq. Undan foydalanish foydalanuvchi hisoblarining buzilishiga va ma’lumotlarning oqib ketishiga ham olib kelishi mumkin. Yana bir hujum vektori favqulodda qo’ng’iroq qilish funksiyasi. Bu funksiya signalizatsiya tizimiga o’rnatilgan mikrofonlar tomonidan yoqilgan. Biroq, API zaifligi tufayli tajovuzkorlar mikrofonga masofadan ulanishi va undan foydalanuvchilarni josuslik qilish uchun foydalanishi mumkin.
Zaifliklarning jiddiyligi sababli, tadqiqotchilar odatda sotuvchilarga yamoqlarni chiqarish va topilmalarining tafsilotlarini bir hafta ichida oshkor qilish uchun beriladigan 90 kunlik muddatni qisqartirishga qaror qilishdi. Ularning ta’kidlashicha, Viper va Pandora Car Alarm System ikkalasi ham belgilangan muddatga rioya qilishdi.
