对于不使用钥匙进入车辆内部的安全研究一直在持续着,许多汽车报警器厂商都在推销自己的产品。
经过我们的安全研究发现,安装这些报警器会增加车辆被劫持的风险,这些报警器可能会使车主被远程劫持,或者是在行驶时使汽车发动机停止,甚至车辆被偷。
在为我们的测试汽车上安装了几个主流高端智能报警器后,我们发现其中有几个报警系统中存在严重的安全漏洞,这些漏洞可以实现如下利用:
这些报警器影响了全球多达300万辆汽车。
涉及漏洞的两家报警器供应商是Viper(英国的Clifford品牌)和Pandora,这两家是全球最大的汽车防盗品牌,漏洞是API中的不安全直接对象引用(IDOR)造成的,只需通过篡改参数,即可在未经身份验证的情况下更新注册到帐户的电子邮件地址,将密码重置为修改后的地址(即攻击者)并接管帐户。
可以对特定车辆进行地理定位和跟踪,然后使其停止并解锁车门,劫持汽车和司机将变得非常容易。
第三方CalAmp公司为Viper Smart Start警报器提供后端服务,该漏洞是一个在
IDOR 上的“修改用户”请求。虽然其他API都正确检查了授权,但是未正确验证/ users / Update / xxxxx请求。因此,可以发出恶意请求以更改任意用户密码来登录,从而允许与警报器交互。合法用户已被锁定在其帐户之外,无法访问警报装置。
下面是一个示例请求:
所以,我们实地跟随它......
远程关闭警报警报器和闪光灯,司机现在开始查看哪里出了问题。我们已经设置了防盗装置,所以他们无法开走,并且已经取消了对警报帐户的访问权限,因此他们无法重置防盗锁。
我们还可以使用工具克隆警报密钥卡,就可以解锁汽车的大门。
现在小偷就可以开着车开走了。
我们发现我们可以在Viper的汽车上关闭发动机,除了使用移动应用程序中的帐户接管漏洞,还可以关闭任何装有这些警报的汽车的引擎,该漏洞在Viper移动应用UI中不存在,但在API中存在。
这对人身安全的影响非常严重,涉及汽车在高速道路上驾驶的事故可能会由恶意攻击造成。
Pandora警报器能够进行SOS呼叫,安装麦克风也是为了实现这一点,由于API中的授权缺陷,可以远程访问和启用麦克风。
因此,所有装有警报器的汽车司机的讲话都可以被收听。
Viper和Pandora都能够发送自定义CAN消息。
近年来,汽车报警器能够直接与CAN连接,鉴于现代车辆的复杂程度,这是非常有必要的,这也有助于减少报警器布线和所需的安装时间。高端警报器可以自动检测他们正在安装的车辆类型,并自定义他们对正在使用的CAN消息传递的命令集。
但是,当警报器未正确识别车辆,安装人员将需要手动设置警报器。跟据我们研究发现,报警编程必须使用笔记本电脑应用程序在本地完成,或者使用蓝牙的移动APP完成。虽然似乎有一些方法可以通过API进行无线编程,但文档没有记录,我们还没有完整对它们进行逆向工程。
在分析了固件,手册和相关的更改日志后,我们发现了一些可怕的功能。
如果你拥有一辆带有相关Pandora警报的车辆,比如马自达6,揽胜运动,起亚Quoris,丰田Fortuner,三菱帕杰罗,丰田普锐斯50和RAV4--这些都显示在警报API中存在漏洞,可以远程调整行驶巡航速度!
停止/启动功能的一些变通方法还可以发送错误的制动踏板消息,模拟驾驶员踩下踏板并启动车辆。
我们已经看到很多情况下可以在物联网API中利用IDOR。这是我们第一次看到它们导致的这种规模的潜在攻击。
这些警报价器格昂贵,通常适用于高端车辆,通常是那些无钥匙操作的车辆。 一项保守的估计表明,价值1500亿美元的车辆已经曝光。
这些警报器没有添加任何额外的安全措施来防止密钥中继攻击,并且在它们被修复之前,它们实际上暴露了所有者的额外攻击并危及他们的生命安全。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!