Форум по автобезопасности -
автосигнализации

Zolg · 22.12.2014, 13:13

У сервиса p-on.ru существует уязвимость, раскрывающая информацию об абонентах системы, включая статус охраны и GPS координаты автомобиля.
К счастью привязки этих данных к конкретному автомобилю нет.
К сожалению, с очень высокой вероятностью, возможно стягивание информации по всем автомобилям, подключенным к p-on.ru и дальнейшей их систематизацией на основе GPS-координат.

Данная информация была доведена до сведения alarmtrade, однако никаких действий с их стороны предпринято не было.
Надеюсь, что сообщение здесь их хоть немного взбодрит.

Никакого пентеста серверов пандоры не проводилось: уязвимость лежит настолько на поверхности, что была обнаружена при написании собственного android-приложения для p-on.ru вместо глючного оригинального. Сам характер уязвимости как бы намекает на то, что о безопасности разработчики не задумывались вообще. И я скорее удивлюсь отсутствию других менее очевидных дырок в системе, чем их наличию.
Очень, очень сильно надеюсь, что web и embedded разработчики у пандоры - разные люди. Иначе все совсем грустно представляется.

Что делать:
Если GPS-приемника в машине нет - можно расслабиться. Да, утечка данных есть, но привязать их к конкретной машине малореально.
Если GPS-приемник есть, то лично я бы связь c сервером p-on в настройках сиги запретил.

описание уязвимости: https://cryptobin.org/3783e3l9
описание запаролено, с паролем подожду до исправления ее пандорой, если они не затянут его на долгий срок.

scart · 23.12.2014, 14:52

А что за данные уходят? И как их может использовать злоумышленник? GPS стоит, но у меня управление охраной запрещено с web и мобильных приложений. Каких угроз ожидать?

Zolg · 23.12.2014, 16:23

Полный статус сигнализации:
Координаты, статус охраны, автозапуска, показания датчиков, и.т.д.

Для управления сигнализацией непосредственно эту уязвимость использовать к счастью не получится.

Но вот для того, чтобы выяснить перемещения владельца - вполне может быть.

scart · 23.12.2014, 17:48

Ясно, утечка информации чисто.

antiterror · 23.12.2014, 23:30

Цитата:

Сообщение от Zolg

У сервиса p-on.ru существует уязвимость,

Так наверное поэтому и переходят на новый сервис pro.p-on.ru
Не спроста решили изменить просуществовавший более 2 лет сервер.

Zolg · 24.12.2014, 12:10

Ну что же: больше, чем через неделю после первого письма в alarmtrade, их представитель таки вышел на связь. Дыру теперь закрыли.
Желающие оценить, шо це було могут воспользоваться паролем gfyljhfvtyzelbdkztn (ссылка в первом сообщении)

2000VIF · 25.12.2014, 12:02

Спасибо сказали?
Обычно, в таких случаях спасибо, обеспечивают и дополнительной мотивацией.

Zolg · 25.12.2014, 16:44

Пандора вообще контора необычная

Хорошо, хоть исправили.

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

Zolg Завсегдатай Регистрация: 28.02.2014 Сообщения: 34 Репутация: 10	22.12.2014, 13:13 уязвимость веб-сервиса p-on.ru #1 У сервиса p-on.ru существует уязвимость, раскрывающая информацию об абонентах системы, включая статус охраны и GPS координаты автомобиля. К счастью привязки этих данных к конкретному автомобилю нет. К сожалению, с очень высокой вероятностью, возможно стягивание информации по всем автомобилям, подключенным к p-on.ru и дальнейшей их систематизацией на основе GPS-координат. Данная информация была доведена до сведения alarmtrade, однако никаких действий с их стороны предпринято не было. Надеюсь, что сообщение здесь их хоть немного взбодрит. Никакого пентеста серверов пандоры не проводилось: уязвимость лежит настолько на поверхности, что была обнаружена при написании собственного android-приложения для p-on.ru вместо глючного оригинального. Сам характер уязвимости как бы намекает на то, что о безопасности разработчики не задумывались вообще. И я скорее удивлюсь отсутствию других менее очевидных дырок в системе, чем их наличию. Очень, очень сильно надеюсь, что web и embedded разработчики у пандоры - разные люди. Иначе все совсем грустно представляется. Что делать: Если GPS-приемника в машине нет - можно расслабиться. Да, утечка данных есть, но привязать их к конкретной машине малореально. Если GPS-приемник есть, то лично я бы связь c сервером p-on в настройках сиги запретил. описание уязвимости: https://cryptobin.org/3783e3l9 описание запаролено, с паролем подожду до исправления ее пандорой, если они не затянут его на долгий срок.

scart Завсегдатай Регистрация: 26.11.2014 Адрес: Красноярск Сообщения: 37 Репутация: 94	23.12.2014, 14:52 #2 А что за данные уходят? И как их может использовать злоумышленник? GPS стоит, но у меня управление охраной запрещено с web и мобильных приложений. Каких угроз ожидать?

Zolg Завсегдатай Регистрация: 28.02.2014 Сообщения: 34 Репутация: 10	23.12.2014, 16:23 #3 Полный статус сигнализации: Координаты, статус охраны, автозапуска, показания датчиков, и.т.д. Для управления сигнализацией непосредственно эту уязвимость использовать к счастью не получится. Но вот для того, чтобы выяснить перемещения владельца - вполне может быть.

scart Завсегдатай Регистрация: 26.11.2014 Адрес: Красноярск Сообщения: 37 Репутация: 94	23.12.2014, 17:48 #4 Ясно, утечка информации чисто.

Zolg Завсегдатай Регистрация: 28.02.2014 Сообщения: 34 Репутация: 10	24.12.2014, 12:10 #6 Ну что же: больше, чем через неделю после первого письма в alarmtrade, их представитель таки вышел на связь. Дыру теперь закрыли. Желающие оценить, шо це було могут воспользоваться паролем gfyljhfvtyzelbdkztn (ссылка в первом сообщении)

2000VIF Сенсей Регистрация: 05.05.2014 Адрес: Ростов-на-Дону Сообщения: 1,006 Репутация: 4471	25.12.2014, 12:02 #7 Спасибо сказали? Обычно, в таких случаях спасибо, обеспечивают и дополнительной мотивацией.

Zolg Завсегдатай Регистрация: 28.02.2014 Сообщения: 34 Репутация: 10	25.12.2014, 16:44 #8 Пандора вообще контора необычная Хорошо, хоть исправили.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Форум по автобезопасности - автосигнализации

Форум по автобезопасности -
автосигнализации