Dos sistemas populares de alarma para automóviles tienen vulnerabilidades de seguridad fijas que permitieron a los investigadores rastrear, secuestrar y tomar el control de vehículos con las alarmas instaladas de forma remota.

Los sistemas, construidos por el fabricante de alarmas ruso Pandora y Viper, con sede en California, o Clifford en el Reino Unido, eran vulnerables a una API del lado del servidor fácilmente manipulable, según investigadores de Pen Test Partners, una compañía de ciberseguridad del Reino Unido. En sus conclusiones, se podría abusar de la API para tomar el control de la cuenta de usuario de un sistema de alarma y de su vehículo.

Esto se debe a que los sistemas de alarma vulnerables pueden ser engañados para restablecer la contraseña de una cuenta porque la API no pudo verificar si se trataba de una solicitud autorizada, lo que permite a los investigadores iniciar sesión.

Aunque los investigadores compraron alarmas para probar, dijeron que "cualquiera" podría crear una cuenta de usuario para acceder a cualquier cuenta genuina o extraer todos los datos de usuario de las compañías.

Los investigadores dijeron que unos tres millones de autos en todo el mundo eran vulnerables a las fallas, desde que se repararon.

En un ejemplo que demuestra el hackeo, los investigadores geolocalizaron un vehículo objetivo, lo rastrearon en tiempo real, lo siguieron, apagaron el motor de forma remota y forzaron el automóvil a detenerse, y abrieron las puertas. Los investigadores dijeron que era "trivialmente fácil" secuestrar un vehículo vulnerable. Peor aún, fue posible identificar algunos modelos de automóviles, lo que facilitó aún más los secuestros específicos o los vehículos de alta gama.

Según sus hallazgos, los investigadores también encontraron que podían escuchar el micrófono del automóvil, incorporado como parte del sistema de alarma Pandora para hacer llamadas a los servicios de emergencia o asistencia en la carretera.

Ken Munro, fundador de Pen Test Partners, dijo a TechCrunch que este era su proyecto "más grande".

Los investigadores contactaron a Pandora y Viper con un período de divulgación de siete días, dada la gravedad de las vulnerabilidades. Ambas compañías respondieron rápidamente para solucionar los defectos.

Cuando se alcanzó, Chris Pearson de Viper confirmó que la vulnerabilidad ha sido corregida. "Si se utiliza con fines maliciosos, [the flaw] podría permitir el acceso a las cuentas de los clientes sin autorización ".

Viper culpó a una actualización reciente del sistema por parte de un proveedor de servicios por el error y dijo que el problema se "rectificó rápidamente".

"Directed cree que no se expusieron datos de clientes y que no se tuvo acceso a ninguna cuenta sin autorización durante el corto período en que existió esta vulnerabilidad", dijo Pearson, pero no proporcionó evidencia de cómo la compañía llegó a esa conclusión.

En un largo correo electrónico, Antony Noto, de Pandora, desafió varios de los hallazgos del investigador, y resumió: "El cifrado del sistema no fue descifrado, los controles remotos donde no se pirateaban, [and] Las etiquetas no fueron clonadas ”, dijo. "Una falla de software permitió el acceso temporal al dispositivo durante un corto período de tiempo, que ahora se ha abordado".

La investigación sigue el trabajo realizado el año pasado por Vangelis Stykas en Calamp, un proveedor de telemática que sirve de base para la aplicación móvil de Viper. Stykas, quien más tarde se unió a Pen Test Partners y también trabajó en el proyecto de alarma para autos, descubrió que la aplicación estaba usando las credenciales codificadas en la aplicación para iniciar sesión en una base de datos central, lo que daba a cualquier persona que iniciara sesión el control remoto de un vehículo conectado.