Testere undersøger sikkerheden ved bilalarmer

A:"Du mener, at din nøglefri bil blev stjålet på trods af din alarm?" B:"Nej, min bil blev stjålet på grund af min alarm." Giver det nogen mening? Det ville det, hvis du læste om et britisk sikkerhedsfirmas resultater, da de gik og kiggede på tredjeparts bilalarmer.

Kort om, sikkerhedshuller blev fundet i tredjepartsalarmer, der dukkede op i biler, der er kendte fra mærket. Ja, de talte om de der alarmer, der tilbyder at forhindre biler i at blive kapret. De har mulighed for, at en person kan starte bilen fra en smartphone-app. Tænker du, hvad vi tænker? Smartphone app? Med en usikker alarm-app, forskerne var i stand til (1) at aktivere bilalarmer, (2) lås bildørene op og (3) start motoren.

Sikkerhedsforskerne udnyttede de mærker, der kunne lade døren stå åben (en passende spøg) for at fravriste kontrollen. De så en række svagheder i to testede alarmprodukter. Disse omfattede resultaterne af, at bilen kunne geo-lokaliseres i realtid, biltype kunne identificeres, kunne starte motoren på afstand, og i nogle tilfælde kunne motoren blive dræbt.

Forskningen blev udført for BBCs Click-teknologiprogram af UK-baserede Pen Test Partners, i branchen med at afdække softwarefejl via penetrationstest og sikkerhedstjenester. De betalte $5, 000 for at købe og montere de smarte alarmer til biler.

En video på BBC News viste to hackere, der ventede på at komme i gang med en udvalgt - derefter fanget - bil. Offeret i den sorte bil anede ikke (som genindført) om, hvad der var ved at ske. Bilpanikalarmen gik, får chaufføren til at stoppe. Og så, i en lille bil bag offerets bil, angriberne steg ud og tog kontrol over dørlåsene.

"Stå ud af bilen. Giv mig dine nøgler."

Teamet kontaktede de involverede leverandører og gav dem 7 dage til at fjerne eller rette de sårbare API'er. Heldigvis, firmaerne reagerede på eksponeringen, og de har opgraderet sikkerheden for at fjerne fejlene.

En britisk repræsentant hos et af firmaerne svarede i løbet af cirka 48 timer og fik deres andet kontor til at handle hurtigt. Rettelsen var natten over; det andet firma havde også en løsning.

Pen Test Partners vurderede sælgernes reaktioner, sagde, at "svaret fra begge leverandører faktisk var ret godt. De erkendte, svarede, tog øjeblikkelig handling og bekræftede det. En lektion for alle IoT-leverandører der!"

"Efterhånden som flere ting er netværkskontrollerbare, sikkerhed bliver vigtigere og vigtigere, " sagde Hackaday. Hvad angår BBC-læsersvar, det virker, som om der er et bilejersegment, der ikke er imponeret over teknologiens fremskridt. Ikke alene er de uimponerede, men beklager den øgede afhængighed af teknologi, der påvirker bilfunktioner.

En kommentar var, at "der er ingen 'Intelligence' i nogen software .. det er intet andet end statistik/sandsynlighed. Det er med andre ord et spørgsmål om tid, før det forkerte valg bliver truffet."

En anden kommentar sagde, at han ville ønske, at han kunne købe en bil "uden al den automatisering. Jeg vil ikke have, at computeren tænder vinduesviskere for mig, eller ændre vinklen på mine forlygter, når jeg drejer, eller bipper til mig, når jeg skifter vognbane. Farlige distraktioner. Jeg kører; Jeg burde have kontrol over bilen."

Endnu en anden:"Hvis den [sic] er forbundet til internettet, den kan hackes, om det er en bil eller et atomkraftværk. Jeg arbejdede for en virksomhed involveret i sikkerhedskritisk transportinfrastruktur, og vi havde en streng regel om, at driftsudstyr aldrig var forbundet til internettet, enten via VPN eller anden sikkerhedsteknik."

Andre kommentarer viser, at der ikke bør fokuseres på softwarens skrøbelige karakter, men på behovet for grundig test og fejlfinding, før et produkt kan frigives.

En kommentar så på, hvordan virksomhederne i dette tilfælde reagerede prompte. Sikkerhedsfejl er et faktum i det digitale liv, så bare tag fat i det. De vigtigste fokuspunkter er "Afsløring af sårbarhed og effektiv afhjælpning", som er et "afgørende mål for tillid." Kommentaren tilføjede, at der skulle gøres mere ud af at svare inden for 7 dage end aspektet "vær bange!"

© 2019 Science X Network