Több millió autóba szerelték be olyan, mobiltelefonnal irányítható riasztókat, amelyek komoly biztonsági hibáik miatt nemhogy megvédik, de sokkal sérülékenyebbé teszik az autókat és az autósokat is. Vagyis ez esetben is igaznak bizonyult, hogy minél okosabb egy rendszer, annál több kockázatot hordoz magában.

A tolvajokat sem riasztják el, de még a hackereket is magukra szabadíthatják azok az autótulajdonosok, akik mobiltelefonnal irányítható riasztóberendezéseket terveznek az autójukba beépíteni. Az okos riasztókat a Pen Test Partners nevű cég tesztelte, és a lenti a hibákat már jelezték a gyártóknak, akik a friss verziókban már ki is javították azokat. (Ez persze nem jelenti azt, hogy más hibákra ne derülhetne fény.)

A szakemberek a Pandora és a Cliford (az amerikai piacon Viper néven ismert) cégek által gyártott, mobiltelefonos alkalmazásokkal irányított riasztókat tesztelték. Ezek a riasztók főleg az Amerikai Egyesült Államokban rendkívül népszerűek, és az eladási adatok szerint már több mint hárommillió autóba szerelték már be őket.

A Pandora eddig a „feltörhetetlen” jelzővel illette termékeit, az eset óta ezt az állítást törölték weboldalukról. A Pandora terméke egy régóta közismert biztonsági hibát tartalmazott: az IDOR (Insecure Direct Object Reference) támadással úgy lehet a teljes adatbázis tartalmához hozzájutni, hogy a támadó egy tetszőleges paramétert küld a háttérrendszerhez. A hibát felfedő biztonsági szakemberek szerint a sérülékenység kihasználásával az adminisztrátorok jelszava is ellopható, így az összes felhasználó fiókjához hozzá tudnának férni.

A paraméterek módosításával bárki átírhatja az adott fiókhoz regisztrált e-mail-címet, majd új jelszó igénylése után máris átveheti az ellenőrzést a kiszemelt felhasználói fiók felett. Ha a támadó belép egy feltört fiókba, az alkalmazás használatával megtudhatja, hogy hol van az adott autó, milyen típusú autóról van szó, így könnyedén ki tudja választani a számára „érdekes” járművet. Az alkalmazás segítségével ki-be lehet kapcsolni az ajtókat, az autó motorját pedig távolról el lehet indítani vagy leállítani.

A kutatók egy rövid videót (lásd alul) is készítettek, melyben az általuk kitalált támadásban a kiszemelt autó riasztóját távolról elindítják. Miután a vezető megáll, hogy megnézze, mi aktiválta a riasztót, erőszakkal elveszik tőle a kulcsokat ‒ és az autót már el is lopták.

Egy másik riasztó esetében távolról lehet a szerkezet mikrofonjához hozzáférni, így minden közeli beszélgetés kihallgatható. A hibákat mindkét gyártó elhárította, és reméljük, hogy a biztonságtudatos vásárlók is frissítették alkalmazásaikat. Vagy egyszerűen egy másik, kevésbé okos riasztót vásároltak.