Исследователи, занимающиеся вопросами безопасности, использовали эти ошибки для активации сигнализации, разблокировки дверей автомобиля и запуска двигателя через незащищенное приложение. Тесты проводили консультанты по безопасности Pen Test Partners, которые имеют большой опыт в выявлении программных дефектов.
Фирма сосредоточилась на двух известных компаниях, которые производят сигнализации, доступные и управляемые с помощью приложений для смартфонов — Pandora, Clifford (в США известные как Viper) . Исследование показало, что Pandora, которая рекламировала свою систему как «неуязвимую», позволила хакеру сбросить пароли для любой учетной записи.
Так они смогли взять под контроль приложение удаленного доступа к интеллектуальному сигналу тревоги, отслеживание любого транспортного средства в режиме реального времени, удаленную активацию сигнализации, открытие дверных замков, запуск двигателя автомобиля.
Группа пришла к выводу, что для доступа к профилям других пользователей можно использовать легальную учетную запись, а затем менять пароли и контролировать их работу. «Я мог бы посмотреть на систему, найти хороший Lamborghini или Porsche, открыть ее двери и уехать», — отметил Крис Причард, консультант по безопасности компании Pen Test Partners.
Эксперт по вопросам безопасности профессор Алан Вудворд из Центра кибербезопасности Суррейского университета заявил: разочарование вызывает тот факт, что компании допускают относительно простые недостатки в своей деятельности в области безопасности.
Вудворд отметил, что для компаний стало тенденцией тратить много времени на ту часть приложений, которую видят пользователи, но меньше внимания обращать на безопасность, которую пользователю довольно сложно перепроверить.