Autoalarmsysteem dat in Benelux verkocht wordt bevatte kritieke kwetsbaarheid

Een third party-alarmsysteem dat onder andere in de Benelux verkocht wordt, bevatte een kritieke kwetsbaarheid. Kwaadwillenden konden eenvoudig op afstand toegang krijgen tot de auto, die ontgrendelen en de motor starten of stoppen.

Onderzoekers van Pen Test Partners publiceren hun bevindingen over lekken in alarmsystemen van Pandora en Viper, wereldwijd zijn er daarvan volgens hen drie miljoen verkocht. De alarmsystemen van Viper worden in de Benelux verkocht onder de naam Clifford. Er zijn tientallen dealers in Nederland die de systemen van het merk installeren. Het gaat om optionele alarmsystemen die bedoeld zijn om auto's die 'sleutelloos' te openen zijn beter te beveiligen. Dat dergelijke auto's makkelijk te kraken zijn, is al jaren bekend.

Het SmartStart GPS-systeem van Clifford was eenvoudig te kraken via de api van een derde partij: CalAmp. Kwaadwillenden konden een wachtwoordreset uitvoeren op een account naar keuze en daarbij hun eigen e-mailadres opgeven, om zo het account over te nemen. Na het overnemen is het mogelijk om de locatie van het voertuig te bepalen met gps. Ook kan de motor gestart of gestopt worden en kunnen de deuren ontgrendeld of gesloten worden. De onderzoekers tonen aan dat kwaadwillenden het alarm van een rijdende auto af kunnen laten gaan, of zelfs de motor uit kunnen zetten. Die functie is bedoeld voor de eigenaar om een gestolen auto te immobiliseren.

De onderzoekers brachten de fabrikanten van de alarmsystemen op de hoogte over de kwetsbaarheden en gaven hen zeven dagen om met een oplossing te komen. Dat is veel korter dan de periode van negentig dagen die Pen Test Partners normaal hanteert, maar volgens de onderzoekers waren de kwetsbaarheden zeer eenvoudig te vinden en ook eenvoudig om op te lossen, desnoods door functionaliteit via de app tijdelijk uit te schakelen. Het alarm is dan nog te bedienen met de rf-sleutel.

Zowel Pandora als Viper hebben de kwetsbaarheid binnen de gestelde termijn opgelost. De onderzoekers merken echter op dat ze geen volledige test hebben gedaan van de gebruikte api's, omdat ze daar verdere autorisatie voor nodig zouden hebben. Mogelijk zijn er nog andere kwetsbaarheden aanwezig.

Het is niet bekend of kwaadwillenden het lek in de alarmsystemen hebben misbruikt, maar de onderzoekers achtten de kans groot dat criminelen al van het lek wisten, omdat die actief zoeken naar manieren om dure auto's te stelen. Volgens de onderzoekers zijn de betreffende alarmsystemen duur en worden ze vaak op dure auto's geïnstalleerd. Een Nederlandse dealer biedt het Clifford StartSmart GPS-systeem aan voor 1200 euro.

Reacties (28)

Patjeee 8 maart 2019 17:08

Is dit alleen voor Benelux of ook wereldwijd ? Ik heb namelijk een Viper systeem in USA op mijn auto.
Auto diefstal is vrij hoog in de VS.

[Reactie gewijzigd door Patjeee op 23 juli 2024 02:10]

Ting87 @Patjeee • 8 maart 2019 17:11

Ik ben bang voor wel;
Ze geven namelijk specifiek de naam aan waar ze in NL mee werken, en dat lijkt voor economische redenen een andere naamvoering te hanteren...

Dit bericht staat ook op Forbes (en dat is USA based denk ik) met daarin alleen vermelding van de namen die het bedrijf hanteerd buiten het continent Noord Amerika.
Aanname die ik maak is dan ook dat alle subbranches ook geraakt zijn en zodoende deze verwoording van tweakers

[Reactie gewijzigd door Ting87 op 23 juli 2024 02:10]

Bouddieehh @Patjeee • 8 maart 2019 18:33

Vriend van mij die in Amerika woont heeft het simpelste autodiefstaltrucje ter wereld; Handbak!

Schijnt 99,99% veiligheid te bieden tenzij je een echte exoot rijdt maar dan is het georganiseerde misdaad. Wat ook helpt is een lelijk stuurslot.

Patjeee @Bouddieehh • 8 maart 2019 19:00

Heb ik ook maar toch 50% van mijn vrienden groep of meer weet echt wel met een handbak te rijden, het helpt dat niet iedereen het kan maar het is nog steeds een risico. Mijn auto is een handbak honda s2000. Ik laat mijn auto lekker in de garage staan tot dit 100% voorbij is.

Bouddieehh @Patjeee • 8 maart 2019 20:45

Aye dat is jammer! Maar je hebt wel smaak qua auto’s! Die S2000 is echt een klasse bak die zijn tijd ver vooruit was qua pk/liter verhouding. 101-102 pk pet liter zonder turbo!!! Alleen de M5 met de V10 en Lamborghini’s Murcialago en Aventador doen meer pk/liter.

Ik zou zulke auto’s altijd in de garage zetten, al is het maar om de jaloezie en afgunst. Een vriend van mij zijn vader had een Alfa Romeo Spider (old timer) en daar hebben ze een paar keer mes of iets ander scherps door het cabriodak getrokken...

Edit: Je zou eens kunnen informeren naar een voertuigvolgsysteem klasse 5 of 6 alarm.

[Reactie gewijzigd door Bouddieehh op 23 juli 2024 02:10]

Troetelbeer @Bouddieehh • 8 maart 2019 18:42

Omdat bijna geen Amerikaan weet hoe die met een handbak moet rijden

Hupegel 8 maart 2019 17:18

Ik begin steeds meer behoefte te krijgen aan good old fysieke autosleutels...

Anoniem: 91634 @Hupegel • 8 maart 2019 17:26

Voelt zich erg gezegend met zijn 10+ auto

LOTG @Anoniem: 91634 • 8 maart 2019 17:40

En dit systeem is dus prima geschikt voor een 10 jaar oude auto. Het is juist een inbouw set.

Daarbij, jou 10+ auto heeft waarschijnlijk een sleutel waarmee je de auto op afstand kan openen/afsluiten en die zijn vatbaar voor aanvallen als iemand in de buurt is als jij op het knopje drukt.

Het komt er in principe op neer dat een dief die gericht bepaalde auto's steelt het waarschijnlijk lukt. Een auto openen en starten zonder sleutels is helaas een koud kunstje. Het is ook niet zo dat er 10 jaar geleden geen auto's gestolen werden. In het ergste geval sla je een raam in.

Anoniem: 80910 @LOTG • 8 maart 2019 18:34

tsja, een investering van 1200 euro op een auto die 10 jaar oud is prima ?

Breezers 8 maart 2019 17:14

Voor verzekering in Nederland moeten dit soort systemen toch SCM goedgekeurd zijn en mogen alleen door bepaalde gecertificeerde partijen worden ingebouwd en jaarlijks gekeurd worden ? Ik neem aan dat dit soort systemen dan ook niet door verzekeraars erkend zijn....

MadMarky @Breezers • 8 maart 2019 17:25

SCM is leuk maar kijkt vooral de wat meer klassieke eisen, zo is uit m'n hoofd het verschil tussen klasse II en III of er hellingshoek detectie aanwezig is. De mensen bij SCM kijken verder of de inbouwkwaliteit deugt maar ik betwijfel dat ze ook gaan kijken of de online beveiliging van eventuele accounts op orde is. Daar heb je mensen met IT-kennis voor nodig.

SinergyX 8 maart 2019 17:18

Clifford zal toch via de accounts wel precies in beeld hebben wie zo'n ding hebben en ze direct op de hoogte stellen? Ik lees nergens de termijn die ze hadden voordat ze hiermee naar buiten kwamen, maar dan zou je in die tijd toch al je klantenbestand kunnen informeren over mogelijk misbruik.

Maar even andere vraag, hoe zit dit met de verzekering? Volgens mij moet toch zo'n alarm aan bepaalde eisen/certificaten voldoen voordat ze mogen worden gebruikt? Als dit ding nu gejat wordt/is, dekt je verzekering dit nog wel nu het gaat om een compleet onveilig systeem?

Kwaadwillenden konden een wachtwoordreset uitvoeren op een account naar keuze en daarbij hun eigen e-mailadres opgeven, om zo het account over te nemen

Lijkt me ergens toch niet zo moeilijk om dit weer te fixen? Gooi je desnoods tijdelijk helemaal dicht en laat ze enkel via de website zelf ofzo werken. Als email niet hetzelfde is als email dat wordt ingegeven -> exit.

[Reactie gewijzigd door SinergyX op 23 juli 2024 02:10]

timo_m

@SinergyX • 8 maart 2019 17:39

Als het goed is hebben ze een mooi overzicht waar alle auto's staan. Kunnen ze een flyer onder de ruitenwisser stoppen met het probleem en de oplossing

nervwrecker 8 maart 2019 23:36

Gewoon een stuurslot nemen 99% van de dieven zullen je dan overslaan want te veel moeite en de andere auto's zonder zijn makkelijker te stelen.
Plus een stuurslot is relatief goedkoop.

Appie-G 9 maart 2019 14:29

Ik vind het zo jammer dat iedereen maar blind zulke systemen kunnen vertrouwen, ik wil ook niet gestoord klinken of dergelijk, maar Volkswagen Audi Groep ( vag ) heeft compleet sch*** aan jou auto als het om veiligheid komt of inbraak, simpel te jatten airbags / audio systemen / navigatie systemen etc.
En dan heb je erbij bedrijven die denken maar simpel met OBD plus een app je auto te kunnen beveiligen, dit is gewoon echt compleet simpel.

Wel een tip voor wagens dat gewoon risico gevallen zijn bij diefstal etc ( let op je woont in Amsterdam en bezit een VW golf of polo )

Je kan heel simpel zelf een startonderbreker erin knutselen zonder te veel werk, je contactsleutel kabelboom aansluiten met een aan/uit switch of alleen specifiek een kabel opzoeken en deze door lussen zo ver mogelijk met een aan uit switch op jou gewenste locatie ( dit zal altijd uniek blijven en een dief zal niet meer weg komen met een how-to handleiding met ( how-to : jat een VW in 3 tellen )
Als je het goed doet en die gene kan jou auto starten, dan zal hij niet aanslaan maar doen alsof dit kuren heeft met starten en hij komt nergens, hiermee krijgt een boef of zelfs pro auto dief gewoon een zware drempel om gepakt te worden en neemt eerder de benen.

2e optie is : stel dief zit in je auto maar moet wel ff sleutel inleren of geforceerd starten met een OBD, indien je obd data kabel doorlust met aan uit knop ( same story deze zal geen sleutel kunnen inleren of kunnen starten op commando via OBD )

Dit zijn allemaal dingen dat je zelf simpel kan uitvoeren zonder veel energie en geld in te steken, als een bedrijf het moet doen, dan zit je toch weer met ( tot hoe verre zal bijv garage of bedrijf dit wel niet doorspelen aan boefjes of bedrijven die zo te werk gaan )

Als je auto naar de garage of dealer moet ( bij afgeven obd knop aanklikken en je dealer kan hem zonder probleem uitlezen )

Ik deel dit puur uit eigen ervaring en dat mijn maat bestolen was van een pas geimporteerde VW ( shady exporters traceren gewoon doodleuk je pas gekochtte auto ) stelen hem weer terug met terwijl je deze net of nog niet eens op kenteken hebt ) en ja ze kunnen doodleuk deze doorspelen als donor ( 99.99%)

App controlled beveiliging is gewoon niet 100% omdat een JAMMER alle gps/gsm/3g/4g data kan blokkeren en op stand jij gewoon niets meer kan ( als jou auto op een lijstje staat voor export dan gaat hij gewoon weg zolang er geen fysieke blokkade is )

lighting_ 8 maart 2019 17:25

De autoproducenten die keyless verkopen moeten door de verzekeraars een rechtzaak krijgen. Ze brengen een inferieur product op de
markt.

Gepstra @lighting_ • 8 maart 2019 17:31

Dit artikel heeft niks met autoproducenten te maken.

lighting_ @Gepstra • 8 maart 2019 18:15

Is hetzelfde principe. Ik ga alleen een stap verder. Autoprducenten hebben zoiets makkelijk te kraken op de markt gebracht. Je hebt het over zeer veel aantallen autos.

dingo35 @lighting_ • 8 maart 2019 18:22

Het klinkt raar, maar dat is niet in het belang van de verzekeraars.
Als auto's niet gestolen worden, hoef je ze daar niet tegen te verzekeren...

Zie ook een topic, jaren geleden, bij Radar of Kassa, over autoruit verzekering....

lighting_ @dingo35 • 8 maart 2019 19:37

Ze maken verlies op auto verzekeringen. Daarom stijgt de premie.

bouwfraude @lighting_ • 10 maart 2019 13:26

Nou zullen verzekeraars nooit beweren dat ze winst maken maar waar het mobieltje belangrijker is dan het leven van de mensen om hun heen om over de lakschade maar te zwijgen. Zou het kunnen dat de winst wat lager is. En dat is ook een verlies volgens de beancounters.

Bouddieehh @lighting_ • 8 maart 2019 18:37

Ik heb een Golf 6 GTI en het alarm en de startonderbreker zijn binnen 30 seconden te omzeilen. De reden? Omdat VW Golf sinds generatie 4 met een inferieur systeem werkt...

Dus ja, autofabrikanten mogen wel wat meer investeren in onkraakbare sleutels en sloten.

darknessblade 8 maart 2019 18:02

waarom kopen mensen dan een beveiliging waarmee je je auto kan overnemen.
een simpele GPS tracker is toch al voldoende???

waarom zou je er dan 1 willen met allerlij toeters en bellen, die bij kwetsbaarheden jezelf ook ingevaar brengen, doordat een kwaadwillige ineens de motor kan uitschakelen of hard remmen als je met 120 op de snelweg zit

Finraziel

@darknessblade • 8 maart 2019 22:02

Die functie is bedoeld voor de eigenaar om een gestolen auto te immobiliseren.

Staat gewoon iets verder in het artikel hoor...
Bovendien zie ik niks over hard remmen, alleen motor uitzetten. Ok, kan ook gevaarlijk zijn, maar niet hetzelfde als ineens hard remmen.

Toff @Finraziel • 8 maart 2019 23:49

"Motor uitzetten" kan weldegelijk heel gevaarlijk zijn. Is mij gebeurd, door een kapotte sensor, dat de motor op een afrit uitschakelde, waardoor ook de stuurbekrachtiging stopte. Het leek of de auto in stuurslot stond, zoveel kracht ik moest uitoefenen om de bocht alsnog te kunnen nemen, in plaats van rechtdoor in een sloot te rijden. Ik moet er niet aan denken, dat een onverlaat dit op afstand kan veroorzaken.

Finraziel

@Toff • 9 maart 2019 07:12

Ik zeg ook niet dat het niet gevaarlijk is? Ik zeg dat de motor uitzetten niet hetzelfde is als hard remmen.
Ok, dat zou je op kunnen vatten als 'minder gevaarlijk dan hard remmen' maar dat zeg ik niet, ik vroeg me alleen af waar dat hard remmen vandaan kwam want dat staat niet in het artikel.
Ook @darknessblade

darknessblade @Finraziel • 9 maart 2019 00:01

als het een vergelijkbaar model is als amerikaanse lease auto companies gebruiken is het degerlijk zeer gevaarlijk:
https://www.youtube.com/watch?v=n6LU20sAn9c

en dit is maar een klein aantal voorbeelden van wat er kan gebreuren.

Op dit item kan niet meer gereageerd worden.

Autoalarmsysteem dat in Benelux verkocht wordt bevatte kritieke kwetsbaarheid

Lees meer

Reacties (28)

Sorteer op:

Weergave: