对于不使用钥匙进入车辆内部的安全研究一直在持续着，许多汽车报警器厂商都在推销自己的产品。

经过我们的安全研究发现，安装这些报警器会增加车辆被劫持的风险，这些报警器可能会使车主被远程劫持，或者是在行驶时使汽车发动机停止，甚至车辆被偷。

在为我们的测试汽车上安装了几个主流高端智能报警器后，我们发现其中有几个报警系统中存在严重的安全漏洞，这些漏洞可以实现如下利用：

这些报警器影响了全球多达300万辆汽车。

涉及漏洞的两家报警器供应商是Viper（英国的Clifford品牌）和Pandora，这两家是全球最大的汽车防盗品牌，漏洞是API中的不安全直接对象引用（IDOR）造成的，只需通过篡改参数，即可在未经身份验证的情况下更新注册到帐户的电子邮件地址，将密码重置为修改后的地址（即攻击者）并接管帐户。

可以对特定车辆进行地理定位和跟踪，然后使其停止并解锁车门，劫持汽车和司机将变得非常容易。

第三方CalAmp公司为Viper Smart Start警报器提供后端服务，该漏洞是一个在 IDOR 上的“修改用户”请求。虽然其他API都正确检查了授权，但是未正确验证/ users / Update / xxxxx请求。因此，可以发出恶意请求以更改任意用户密码来登录，从而允许与警报器交互。合法用户已被锁定在其帐户之外，无法访问警报装置。

下面是一个示例请求：

所以，我们实地跟随它......

远程关闭警报警报器和闪光灯，司机现在开始查看哪里出了问题。我们已经设置了防盗装置，所以他们无法开走，并且已经取消了对警报帐户的访问权限，因此他们无法重置防盗锁。

我们还可以使用工具克隆警报密钥卡，就可以解锁汽车的大门。

现在小偷就可以开着车开走了。

我们发现我们可以在Viper的汽车上关闭发动机，除了使用移动应用程序中的帐户接管漏洞，还可以关闭任何装有这些警报的汽车的引擎，该漏洞在Viper移动应用UI中不存在，但在API中存在。

这对人身安全的影响非常严重，涉及汽车在高速道路上驾驶的事故可能会由恶意攻击造成。

Pandora警报器能够进行SOS呼叫，安装麦克风也是为了实现这一点，由于API中的授权缺陷，可以远程访问和启用麦克风。

因此，所有装有警报器的汽车司机的讲话都可以被收听。

Viper和Pandora都能够发送自定义CAN消息。

近年来，汽车报警器能够直接与CAN连接，鉴于现代车辆的复杂程度，这是非常有必要的，这也有助于减少报警器布线和所需的安装时间。高端警报器可以自动检测他们正在安装的车辆类型，并自定义他们对正在使用的CAN消息传递的命令集。

但是，当警报器未正确识别车辆，安装人员将需要手动设置警报器。跟据我们研究发现，报警编程必须使用笔记本电脑应用程序在本地完成，或者使用蓝牙的移动APP完成。虽然似乎有一些方法可以通过API进行无线编程，但文档没有记录，我们还没有完整对它们进行逆向工程。

在分析了固件，手册和相关的更改日志后，我们发现了一些可怕的功能。

如果你拥有一辆带有相关Pandora警报的车辆，比如马自达6，揽胜运动，起亚Quoris，丰田Fortuner，三菱帕杰罗，丰田普锐斯50和RAV4--这些都显示在警报API中存在漏洞，可以远程调整行驶巡航速度！

停止/启动功能的一些变通方法还可以发送错误的制动踏板消息，模拟驾驶员踩下踏板并启动车辆。

我们已经看到很多情况下可以在物联网API中利用IDOR。这是我们第一次看到它们导致的这种规模的潜在攻击。

这些警报价器格昂贵，通常适用于高端车辆，通常是那些无钥匙操作的车辆。 一项保守的估计表明，价值1500亿美元的车辆已经曝光。

这些警报器没有添加任何额外的安全措施来防止密钥中继攻击，并且在它们被修复之前，它们实际上暴露了所有者的额外攻击并危及他们的生命安全。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课