Hyytävä muistutus tietoturvasta: Autojen hälytysjärjestelmät alttiina helpolle hyökkäykselle – mahdollista paikantaa auto, avata ovet, sammuttaa moottori…

Tietoturvatutkijat ovat kertoneet autojen hälytysjärjestelmiin liittyvistä sovelluksista löytämistään haavoittuvuuksista, joiden hyväksikäyttö olisi ollut tutkijoiden mukaan huolettavan helppoa.

Pen Test Partnersin tietoturvatutkijat löysivät vastaavat haavoittuvuudet Viperin ja Pandora Car Alarm Systemin autohälytysjärjestelmistä. Asiasta kirjoittava CNET kuvailee kaksikkoa kahdeksi maailman suurimpiin kuuluviksi autohälytysjärjestelmien valmistajiksi. Niillä on yhteensä jopa kolme miljoonaa asiakasta.

Löydöksen tehneet tutkijat ottivat yhtiöihin yhteyttä helmikuun lopulla ja molemmat korjasivat tietoturva-aukot alle viikossa.

Itse autoista löytyvien hälytyslaitteiden ja niiden koodin sijaan pääsyn hyökkääjille auki jättäneet haavoittuvuudet löytyivät hälytysjärjestelmien käyttöön älypuhelimille tarjottavista hallintasovelluksista. Sovellukset eivät varmistaneet rajapintojen kautta tehtävien päivityskyselyjen aitoutta asianmukaisella tavalla, mikä mahdollisti hyökkääjille käyttäjätilin sähköpostiosoitteen ja salasanan muuttamisen. Tämän jälkeen tarjolla oli täysi pääsy kaikkiin sovelluksen toimintoihin.

Sovellusten kautta hyökkääjille avautui pääsy seuraamaan auton sijaintia, niiden ovien avaamiseen lukituksesta sekä jopa moottorin sammuttamiseen. Pandoran hälytysjärjestelmässä on myös mikrofoni, jonka kuuntelu oli myös mahdollista hyökkääjille.

Hyökkäykset eivät vaatineet auton lähellä oloa, vaan ne onnistuivat luonteensa vuoksi etäältä.

Onni onnettomuudessa on, että haavoittuvuuksia ei uskota käytetyn hyväksi.

Lue myös

    Uusimmat

    Käytämme evästeitä parantaaksemme käyttökokemusta. Jatkamalla hyväksyt niiden käytön. Tutustu tietosuojakäytäntöömme.

    Sivusto ei tue käyttämääsi selainta. Suosittelemme vaihtamaan tuettuun selaimeen. Lisätietoja

    MTV Oy on osa Teliaa. Yrityskaupan myötä olemme päivittäneet tietosuojasivustomme ja tietosuojakäytännöt. Päivitetyt tietosuojakäytännöt astuvat voimaan 15.4.2020. Lue lisätietoja tästä.