Форум по автобезопасности -
автосигнализации

Zolg · 22.12.2014, 13:13

У сервиса p-on.ru существует уязвимость, раскрывающая информацию об абонентах системы, включая статус охраны и GPS координаты автомобиля.
К счастью привязки этих данных к конкретному автомобилю нет.
К сожалению, с очень высокой вероятностью, возможно стягивание информации по всем автомобилям, подключенным к p-on.ru и дальнейшей их систематизацией на основе GPS-координат.

Данная информация была доведена до сведения alarmtrade, однако никаких действий с их стороны предпринято не было.
Надеюсь, что сообщение здесь их хоть немного взбодрит.

Никакого пентеста серверов пандоры не проводилось: уязвимость лежит настолько на поверхности, что была обнаружена при написании собственного android-приложения для p-on.ru вместо глючного оригинального. Сам характер уязвимости как бы намекает на то, что о безопасности разработчики не задумывались вообще. И я скорее удивлюсь отсутствию других менее очевидных дырок в системе, чем их наличию.
Очень, очень сильно надеюсь, что web и embedded разработчики у пандоры - разные люди. Иначе все совсем грустно представляется.

Что делать:
Если GPS-приемника в машине нет - можно расслабиться. Да, утечка данных есть, но привязать их к конкретной машине малореально.
Если GPS-приемник есть, то лично я бы связь c сервером p-on в настройках сиги запретил.

описание уязвимости: https://cryptobin.org/3783e3l9
описание запаролено, с паролем подожду до исправления ее пандорой, если они не затянут его на долгий срок.

Zolg Завсегдатай Регистрация: 28.02.2014 Сообщения: 34 Репутация: 10	22.12.2014, 13:13 уязвимость веб-сервиса p-on.ru #1 У сервиса p-on.ru существует уязвимость, раскрывающая информацию об абонентах системы, включая статус охраны и GPS координаты автомобиля. К счастью привязки этих данных к конкретному автомобилю нет. К сожалению, с очень высокой вероятностью, возможно стягивание информации по всем автомобилям, подключенным к p-on.ru и дальнейшей их систематизацией на основе GPS-координат. Данная информация была доведена до сведения alarmtrade, однако никаких действий с их стороны предпринято не было. Надеюсь, что сообщение здесь их хоть немного взбодрит. Никакого пентеста серверов пандоры не проводилось: уязвимость лежит настолько на поверхности, что была обнаружена при написании собственного android-приложения для p-on.ru вместо глючного оригинального. Сам характер уязвимости как бы намекает на то, что о безопасности разработчики не задумывались вообще. И я скорее удивлюсь отсутствию других менее очевидных дырок в системе, чем их наличию. Очень, очень сильно надеюсь, что web и embedded разработчики у пандоры - разные люди. Иначе все совсем грустно представляется. Что делать: Если GPS-приемника в машине нет - можно расслабиться. Да, утечка данных есть, но привязать их к конкретной машине малореально. Если GPS-приемник есть, то лично я бы связь c сервером p-on в настройках сиги запретил. описание уязвимости: https://cryptobin.org/3783e3l9 описание запаролено, с паролем подожду до исправления ее пандорой, если они не затянут его на долгий срок.

Форум по автобезопасности - автосигнализации

Форум по автобезопасности -
автосигнализации