Arabalar için alarm sistemleri geliştiren iki üreticinin geliştirdiği sistemlerin kolayca ele geçirebildiği fark edildi.
Pen Test Partners adındaki bir firma, geçtiğimiz hafta yayınladığı haberde birkaç üretici tarafından geliştirilen yüksek kalitedeki alarm sistemlerinde, araçların güvenlik seviyesini düşüren kritik öneme sahip hatalar olduğunu söyledi. Şirkete, bu hatadan etkilenen araç sayısının ise üç milyon olduğunu belirtti.
Viper/Clifford ve Pandora adlı şirketlere ait güvenlik sistemleri uygulamalarını kırmanın oldukça basit bir yolu bulunuyor. Sistem bir kere kırılıp erişim sağlandıktan sonra aracın bulunduğu yer belirlenebiliyor, kapı kilitleri kontrol edilebiliyor hatta aracın motoru durdurulabiliyor ve başlatılabiliyor. Bazı alarm sistemlerinde mikrofon da bulunuyor, böylece aracın içinde neler olup bittiği de dinlenebiliyor.
Tüm bunlar Pandora’nın alarmlarının ‘kırılamaz’ olduğunu iddia etmesiyle başladı. Firmanın yaptığı paylaşımda şu ifadelere yer verildi:
“Parametrede değişiklik yapmak oldukça basit. Kimlik doğrulama olmaksızın yapılan bir e-posta değişikliği sayesinde, sıfırlama şifresi gönderiliyor ve hesap ele geçirilebiliyor.”
Viper alarmlarında ise kullanıcının değişiklik istediği sunucularda onaylanmıyor, yani doğru HTTP isteğinde bulunulursa herhangi bir kullanıcının şifresi değiştirilebiliyor. Pandora’da da kullanıcının e-postasını değiştirerek kontrolü ele geçirebiliyorsunuz.
Sürecin nasıl gerçekleştiğini aşağıdaki video aracılığıyla izleyebilirsiniz.
