Tietoturvatutkijat ovat kertoneet autojen hälytysjärjestelmiin liittyvistä sovelluksista löytämistään haavoittuvuuksista, joiden hyväksikäyttö olisi ollut tutkijoiden mukaan huolettavan helppoa.
Pen Test Partnersin tietoturvatutkijat löysivät vastaavat haavoittuvuudet Viperin ja Pandora Car Alarm Systemin autohälytysjärjestelmistä. Asiasta kirjoittava CNET kuvailee kaksikkoa kahdeksi maailman suurimpiin kuuluviksi autohälytysjärjestelmien valmistajiksi. Niillä on yhteensä jopa kolme miljoonaa asiakasta.
Löydöksen tehneet tutkijat ottivat yhtiöihin yhteyttä helmikuun lopulla ja molemmat korjasivat tietoturva-aukot alle viikossa.
Itse autoista löytyvien hälytyslaitteiden ja niiden koodin sijaan pääsyn hyökkääjille auki jättäneet haavoittuvuudet löytyivät hälytysjärjestelmien käyttöön älypuhelimille tarjottavista hallintasovelluksista. Sovellukset eivät varmistaneet rajapintojen kautta tehtävien päivityskyselyjen aitoutta asianmukaisella tavalla, mikä mahdollisti hyökkääjille käyttäjätilin sähköpostiosoitteen ja salasanan muuttamisen. Tämän jälkeen tarjolla oli täysi pääsy kaikkiin sovelluksen toimintoihin.
Sovellusten kautta hyökkääjille avautui pääsy seuraamaan auton sijaintia, niiden ovien avaamiseen lukituksesta sekä jopa moottorin sammuttamiseen. Pandoran hälytysjärjestelmässä on myös mikrofoni, jonka kuuntelu oli myös mahdollista hyökkääjille.
Hyökkäykset eivät vaatineet auton lähellä oloa, vaan ne onnistuivat luonteensa vuoksi etäältä.
Onni onnettomuudessa on, että haavoittuvuuksia ei uskota käytetyn hyväksi.