уязвимость веб-сервиса p-on.ru
Завсегдатай
 
Регистрация: 28.02.2014
Сообщения: 34
Репутация: 10 Zolg репутация 10: верной дорогой идете, товарищ
По умолчанию уязвимость веб-сервиса p-on.ru

У сервиса p-on.ru существует уязвимость, раскрывающая информацию об абонентах системы, включая статус охраны и GPS координаты автомобиля.
К счастью привязки этих данных к конкретному автомобилю нет.
К сожалению, с очень высокой вероятностью, возможно стягивание информации по всем автомобилям, подключенным к p-on.ru и дальнейшей их систематизацией на основе GPS-координат.

Данная информация была доведена до сведения alarmtrade, однако никаких действий с их стороны предпринято не было.
Надеюсь, что сообщение здесь их хоть немного взбодрит.


Никакого пентеста серверов пандоры не проводилось: уязвимость лежит настолько на поверхности, что была обнаружена при написании собственного android-приложения для p-on.ru вместо глючного оригинального. Сам характер уязвимости как бы намекает на то, что о безопасности разработчики не задумывались вообще. И я скорее удивлюсь отсутствию других менее очевидных дырок в системе, чем их наличию.
Очень, очень сильно надеюсь, что web и embedded разработчики у пандоры - разные люди. Иначе все совсем грустно представляется.


Что делать:
Если GPS-приемника в машине нет - можно расслабиться. Да, утечка данных есть, но привязать их к конкретной машине малореально.
Если GPS-приемник есть, то лично я бы связь c сервером p-on в настройках сиги запретил.

описание уязвимости: https://cryptobin.org/3783e3l9
описание запаролено, с паролем подожду до исправления ее пандорой, если они не затянут его на долгий срок.
  Ответить с цитированием
Завсегдатай
 
Регистрация: 26.11.2014
Адрес: Красноярск
Сообщения: 37
Репутация: 94 scart репутация 50: известность уже есть
По умолчанию

А что за данные уходят? И как их может использовать злоумышленник? GPS стоит, но у меня управление охраной запрещено с web и мобильных приложений. Каких угроз ожидать?
  Ответить с цитированием
Завсегдатай
 
Регистрация: 28.02.2014
Сообщения: 34
Репутация: 10 Zolg репутация 10: верной дорогой идете, товарищ
По умолчанию

Полный статус сигнализации:
Координаты, статус охраны, автозапуска, показания датчиков, и.т.д.

Для управления сигнализацией непосредственно эту уязвимость использовать к счастью не получится.

Но вот для того, чтобы выяснить перемещения владельца - вполне может быть.
  Ответить с цитированием
Завсегдатай
 
Регистрация: 26.11.2014
Адрес: Красноярск
Сообщения: 37
Репутация: 94 scart репутация 50: известность уже есть
По умолчанию

Ясно, утечка информации чисто.
  Ответить с цитированием
Завсегдатай
 
Аватар для antiterror
 
Регистрация: 08.04.2012
Сообщения: 64
Репутация: 10 antiterror репутация 10: верной дорогой идете, товарищ
По умолчанию

Цитата:
Сообщение от Zolg Посмотреть сообщение
У сервиса p-on.ru существует уязвимость,
Так наверное поэтому и переходят на новый сервис pro.p-on.ru
Не спроста решили изменить просуществовавший более 2 лет сервер.

.
  Ответить с цитированием
Завсегдатай
 
Регистрация: 28.02.2014
Сообщения: 34
Репутация: 10 Zolg репутация 10: верной дорогой идете, товарищ
По умолчанию

Ну что же: больше, чем через неделю после первого письма в alarmtrade, их представитель таки вышел на связь. Дыру теперь закрыли.
Желающие оценить, шо це було могут воспользоваться паролем gfyljhfvtyzelbdkztn (ссылка в первом сообщении)
  Ответить с цитированием
Сенсей
 
Регистрация: 05.05.2014
Адрес: Ростов-на-Дону
Сообщения: 1,006
Репутация: 4471 2000VIF репутация 2000: это уже земная слава
По умолчанию

Спасибо сказали?
Обычно, в таких случаях спасибо, обеспечивают и дополнительной мотивацией.
  Ответить с цитированием
Завсегдатай
 
Регистрация: 28.02.2014
Сообщения: 34
Репутация: 10 Zolg репутация 10: верной дорогой идете, товарищ
По умолчанию

Пандора вообще контора необычная Хорошо, хоть исправили.
  Ответить с цитированием
Ответ  


Опции темы
Опции просмотра