Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Autoalarmsysteem dat in Benelux verkocht wordt bevatte kritieke kwetsbaarheid

Een third party-alarmsysteem dat onder andere in de Benelux verkocht wordt, bevatte een kritieke kwetsbaarheid. Kwaadwillenden konden eenvoudig op afstand toegang krijgen tot de auto, die ontgrendelen en de motor starten of stoppen.

Onderzoekers van Pen Test Partners publiceren hun bevindingen over lekken in alarmsystemen van Pandora en Viper, wereldwijd zijn er daarvan volgens hen drie miljoen verkocht. De alarmsystemen van Viper worden in de Benelux verkocht onder de naam Clifford. Er zijn tientallen dealers in Nederland die de systemen van het merk installeren. Het gaat om optionele alarmsystemen die bedoeld zijn om auto's die 'sleutelloos' te openen zijn beter te beveiligen. Dat dergelijke auto's makkelijk te kraken zijn, is al jaren bekend.

Het SmartStart GPS-systeem van Clifford was eenvoudig te kraken via de api van een derde partij: CalAmp. Kwaadwillenden konden een wachtwoordreset uitvoeren op een account naar keuze en daarbij hun eigen e-mailadres opgeven, om zo het account over te nemen. Na het overnemen is het mogelijk om de locatie van het voertuig te bepalen met gps. Ook kan de motor gestart of gestopt worden en kunnen de deuren ontgrendeld of gesloten worden. De onderzoekers tonen aan dat kwaadwillenden het alarm van een rijdende auto af kunnen laten gaan, of zelfs de motor uit kunnen zetten. Die functie is bedoeld voor de eigenaar om een gestolen auto te immobiliseren.

De onderzoekers brachten de fabrikanten van de alarmsystemen op de hoogte over de kwetsbaarheden en gaven hen zeven dagen om met een oplossing te komen. Dat is veel korter dan de periode van negentig dagen die Pen Test Partners normaal hanteert, maar volgens de onderzoekers waren de kwetsbaarheden zeer eenvoudig te vinden en ook eenvoudig om op te lossen, desnoods door functionaliteit via de app tijdelijk uit te schakelen. Het alarm is dan nog te bedienen met de rf-sleutel.

Zowel Pandora als Viper hebben de kwetsbaarheid binnen de gestelde termijn opgelost. De onderzoekers merken echter op dat ze geen volledige test hebben gedaan van de gebruikte api's, omdat ze daar verdere autorisatie voor nodig zouden hebben. Mogelijk zijn er nog andere kwetsbaarheden aanwezig.

Het is niet bekend of kwaadwillenden het lek in de alarmsystemen hebben misbruikt, maar de onderzoekers achtten de kans groot dat criminelen al van het lek wisten, omdat die actief zoeken naar manieren om dure auto's te stelen. Volgens de onderzoekers zijn de betreffende alarmsystemen duur en worden ze vaak op dure auto's geïnstalleerd. Een Nederlandse dealer biedt het Clifford StartSmart GPS-systeem aan voor 1200 euro.

Door Julian Huijbregts

Nieuwsredacteur

08-03-2019 • 17:05

28 Linkedin Google+

Reacties (28)

Wijzig sortering
Is dit alleen voor Benelux of ook wereldwijd ? Ik heb namelijk een Viper systeem in USA op mijn auto.
Auto diefstal is vrij hoog in de VS.

[Reactie gewijzigd door Patjeee op 8 maart 2019 17:09]

Ik ben bang voor wel;
Ze geven namelijk specifiek de naam aan waar ze in NL mee werken, en dat lijkt voor economische redenen een andere naamvoering te hanteren...

Dit bericht staat ook op Forbes (en dat is USA based denk ik) met daarin alleen vermelding van de namen die het bedrijf hanteerd buiten het continent Noord Amerika.
Aanname die ik maak is dan ook dat alle subbranches ook geraakt zijn en zodoende deze verwoording van tweakers

[Reactie gewijzigd door Ting87 op 8 maart 2019 17:13]

Vriend van mij die in Amerika woont heeft het simpelste autodiefstaltrucje ter wereld; Handbak!

Schijnt 99,99% veiligheid te bieden tenzij je een echte exoot rijdt maar dan is het georganiseerde misdaad. Wat ook helpt is een lelijk stuurslot.
Heb ik ook maar toch 50% van mijn vrienden groep of meer weet echt wel met een handbak te rijden, het helpt dat niet iedereen het kan maar het is nog steeds een risico. Mijn auto is een handbak honda s2000. Ik laat mijn auto lekker in de garage staan tot dit 100% voorbij is.
Aye dat is jammer! Maar je hebt wel smaak qua auto’s! Die S2000 is echt een klasse bak die zijn tijd ver vooruit was qua pk/liter verhouding. 101-102 pk pet liter zonder turbo!!! Alleen de M5 met de V10 en Lamborghini’s Murcialago en Aventador doen meer pk/liter.

Ik zou zulke auto’s altijd in de garage zetten, al is het maar om de jaloezie en afgunst. Een vriend van mij zijn vader had een Alfa Romeo Spider (old timer) en daar hebben ze een paar keer mes of iets ander scherps door het cabriodak getrokken...

Edit: Je zou eens kunnen informeren naar een voertuigvolgsysteem klasse 5 of 6 alarm.

[Reactie gewijzigd door Bouddieehh op 8 maart 2019 20:47]

Omdat bijna geen Amerikaan weet hoe die met een handbak moet rijden 8)7
Ik begin steeds meer behoefte te krijgen aan good old fysieke autosleutels...
Voelt zich erg gezegend met zijn 10+ auto :D
En dit systeem is dus prima geschikt voor een 10 jaar oude auto. Het is juist een inbouw set.

Daarbij, jou 10+ auto heeft waarschijnlijk een sleutel waarmee je de auto op afstand kan openen/afsluiten en die zijn vatbaar voor aanvallen als iemand in de buurt is als jij op het knopje drukt.

Het komt er in principe op neer dat een dief die gericht bepaalde auto's steelt het waarschijnlijk lukt. Een auto openen en starten zonder sleutels is helaas een koud kunstje. Het is ook niet zo dat er 10 jaar geleden geen auto's gestolen werden. In het ergste geval sla je een raam in.
tsja, een investering van 1200 euro op een auto die 10 jaar oud is prima ?
Voor verzekering in Nederland moeten dit soort systemen toch SCM goedgekeurd zijn en mogen alleen door bepaalde gecertificeerde partijen worden ingebouwd en jaarlijks gekeurd worden ? Ik neem aan dat dit soort systemen dan ook niet door verzekeraars erkend zijn....
SCM is leuk maar kijkt vooral de wat meer klassieke eisen, zo is uit m'n hoofd het verschil tussen klasse II en III of er hellingshoek detectie aanwezig is. De mensen bij SCM kijken verder of de inbouwkwaliteit deugt maar ik betwijfel dat ze ook gaan kijken of de online beveiliging van eventuele accounts op orde is. Daar heb je mensen met IT-kennis voor nodig.
Clifford zal toch via de accounts wel precies in beeld hebben wie zo'n ding hebben en ze direct op de hoogte stellen? Ik lees nergens de termijn die ze hadden voordat ze hiermee naar buiten kwamen, maar dan zou je in die tijd toch al je klantenbestand kunnen informeren over mogelijk misbruik.

Maar even andere vraag, hoe zit dit met de verzekering? Volgens mij moet toch zo'n alarm aan bepaalde eisen/certificaten voldoen voordat ze mogen worden gebruikt? Als dit ding nu gejat wordt/is, dekt je verzekering dit nog wel nu het gaat om een compleet onveilig systeem?
Kwaadwillenden konden een wachtwoordreset uitvoeren op een account naar keuze en daarbij hun eigen e-mailadres opgeven, om zo het account over te nemen
Lijkt me ergens toch niet zo moeilijk om dit weer te fixen? Gooi je desnoods tijdelijk helemaal dicht en laat ze enkel via de website zelf ofzo werken. Als email niet hetzelfde is als email dat wordt ingegeven -> exit.

[Reactie gewijzigd door SinergyX op 8 maart 2019 17:19]

Als het goed is hebben ze een mooi overzicht waar alle auto's staan. Kunnen ze een flyer onder de ruitenwisser stoppen met het probleem en de oplossing :)
Gewoon een stuurslot nemen 99% van de dieven zullen je dan overslaan want te veel moeite en de andere auto's zonder zijn makkelijker te stelen.
Plus een stuurslot is relatief goedkoop.
Ik vind het zo jammer dat iedereen maar blind zulke systemen kunnen vertrouwen, ik wil ook niet gestoord klinken of dergelijk, maar Volkswagen Audi Groep ( vag ) heeft compleet sch*** aan jou auto als het om veiligheid komt of inbraak, simpel te jatten airbags / audio systemen / navigatie systemen etc.
En dan heb je erbij bedrijven die denken maar simpel met OBD plus een app je auto te kunnen beveiligen, dit is gewoon echt compleet simpel.

Wel een tip voor wagens dat gewoon risico gevallen zijn bij diefstal etc ( let op je woont in Amsterdam en bezit een VW golf of polo )

Je kan heel simpel zelf een startonderbreker erin knutselen zonder te veel werk, je contactsleutel kabelboom aansluiten met een aan/uit switch of alleen specifiek een kabel opzoeken en deze door lussen zo ver mogelijk met een aan uit switch op jou gewenste locatie ( dit zal altijd uniek blijven en een dief zal niet meer weg komen met een how-to handleiding met ( how-to : jat een VW in 3 tellen )
Als je het goed doet en die gene kan jou auto starten, dan zal hij niet aanslaan maar doen alsof dit kuren heeft met starten en hij komt nergens, hiermee krijgt een boef of zelfs pro auto dief gewoon een zware drempel om gepakt te worden en neemt eerder de benen.

2e optie is : stel dief zit in je auto maar moet wel ff sleutel inleren of geforceerd starten met een OBD, indien je obd data kabel doorlust met aan uit knop ( same story deze zal geen sleutel kunnen inleren of kunnen starten op commando via OBD )

Dit zijn allemaal dingen dat je zelf simpel kan uitvoeren zonder veel energie en geld in te steken, als een bedrijf het moet doen, dan zit je toch weer met ( tot hoe verre zal bijv garage of bedrijf dit wel niet doorspelen aan boefjes of bedrijven die zo te werk gaan )

Als je auto naar de garage of dealer moet ( bij afgeven obd knop aanklikken en je dealer kan hem zonder probleem uitlezen )


Ik deel dit puur uit eigen ervaring en dat mijn maat bestolen was van een pas geimporteerde VW ( shady exporters traceren gewoon doodleuk je pas gekochtte auto ) stelen hem weer terug met terwijl je deze net of nog niet eens op kenteken hebt ) en ja ze kunnen doodleuk deze doorspelen als donor ( 99.99%)

App controlled beveiliging is gewoon niet 100% omdat een JAMMER alle gps/gsm/3g/4g data kan blokkeren en op stand jij gewoon niets meer kan ( als jou auto op een lijstje staat voor export dan gaat hij gewoon weg zolang er geen fysieke blokkade is )
De autoproducenten die keyless verkopen moeten door de verzekeraars een rechtzaak krijgen. Ze brengen een inferieur product op de
markt.
Dit artikel heeft niks met autoproducenten te maken.
Is hetzelfde principe. Ik ga alleen een stap verder. Autoprducenten hebben zoiets makkelijk te kraken op de markt gebracht. Je hebt het over zeer veel aantallen autos.
Het klinkt raar, maar dat is niet in het belang van de verzekeraars.
Als auto's niet gestolen worden, hoef je ze daar niet tegen te verzekeren...

Zie ook een topic, jaren geleden, bij Radar of Kassa, over autoruit verzekering....
Ze maken verlies op auto verzekeringen. Daarom stijgt de premie.
Nou zullen verzekeraars nooit beweren dat ze winst maken maar waar het mobieltje belangrijker is dan het leven van de mensen om hun heen om over de lakschade maar te zwijgen. Zou het kunnen dat de winst wat lager is. En dat is ook een verlies volgens de beancounters.
Ik heb een Golf 6 GTI en het alarm en de startonderbreker zijn binnen 30 seconden te omzeilen. De reden? Omdat VW Golf sinds generatie 4 met een inferieur systeem werkt...

Dus ja, autofabrikanten mogen wel wat meer investeren in onkraakbare sleutels en sloten.
waarom kopen mensen dan een beveiliging waarmee je je auto kan overnemen.
een simpele GPS tracker is toch al voldoende???

waarom zou je er dan 1 willen met allerlij toeters en bellen, die bij kwetsbaarheden jezelf ook ingevaar brengen, doordat een kwaadwillige ineens de motor kan uitschakelen of hard remmen als je met 120 op de snelweg zit
Die functie is bedoeld voor de eigenaar om een gestolen auto te immobiliseren.
Staat gewoon iets verder in het artikel hoor...
Bovendien zie ik niks over hard remmen, alleen motor uitzetten. Ok, kan ook gevaarlijk zijn, maar niet hetzelfde als ineens hard remmen.
"Motor uitzetten" kan weldegelijk heel gevaarlijk zijn. Is mij gebeurd, door een kapotte sensor, dat de motor op een afrit uitschakelde, waardoor ook de stuurbekrachtiging stopte. Het leek of de auto in stuurslot stond, zoveel kracht ik moest uitoefenen om de bocht alsnog te kunnen nemen, in plaats van rechtdoor in een sloot te rijden. Ik moet er niet aan denken, dat een onverlaat dit op afstand kan veroorzaken.
Ik zeg ook niet dat het niet gevaarlijk is? Ik zeg dat de motor uitzetten niet hetzelfde is als hard remmen.
Ok, dat zou je op kunnen vatten als 'minder gevaarlijk dan hard remmen' maar dat zeg ik niet, ik vroeg me alleen af waar dat hard remmen vandaan kwam want dat staat niet in het artikel.
Ook @darknessblade
als het een vergelijkbaar model is als amerikaanse lease auto companies gebruiken is het degerlijk zeer gevaarlijk:
https://www.youtube.com/watch?v=n6LU20sAn9c

en dit is maar een klein aantal voorbeelden van wat er kan gebreuren.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Disney

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True