Форум Авто Сигнализаций

Форум Авто Сигнализаций (http://www.alarmforum.ru/index.php)
-   Pandora, Pandect (http://www.alarmforum.ru/forumdisplay.php?f=12)
-   -   уязвимость веб-сервиса p-on.ru (http://www.alarmforum.ru/showthread.php?t=11374)

Zolg 22.12.2014 13:13
уязвимость веб-сервиса p-on.ru
 
У сервиса p-on.ru существует уязвимость, раскрывающая информацию об абонентах системы, включая статус охраны и GPS координаты автомобиля.
К счастью привязки этих данных к конкретному автомобилю нет.
К сожалению, с очень высокой вероятностью, возможно стягивание информации по всем автомобилям, подключенным к p-on.ru и дальнейшей их систематизацией на основе GPS-координат.

Данная информация была доведена до сведения alarmtrade, однако никаких действий с их стороны предпринято не было.
Надеюсь, что сообщение здесь их хоть немного взбодрит.


Никакого пентеста серверов пандоры не проводилось: уязвимость лежит настолько на поверхности, что была обнаружена при написании собственного android-приложения для p-on.ru вместо глючного оригинального. Сам характер уязвимости как бы намекает на то, что о безопасности разработчики не задумывались вообще. И я скорее удивлюсь отсутствию других менее очевидных дырок в системе, чем их наличию.
Очень, очень сильно надеюсь, что web и embedded разработчики у пандоры - разные люди. Иначе все совсем грустно представляется.


Что делать:
Если GPS-приемника в машине нет - можно расслабиться. Да, утечка данных есть, но привязать их к конкретной машине малореально.
Если GPS-приемник есть, то лично я бы связь c сервером p-on в настройках сиги запретил.

описание уязвимости: https://cryptobin.org/3783e3l9
описание запаролено, с паролем подожду до исправления ее пандорой, если они не затянут его на долгий срок.

scart 23.12.2014 14:52
А что за данные уходят? И как их может использовать злоумышленник? GPS стоит, но у меня управление охраной запрещено с web и мобильных приложений. Каких угроз ожидать?

Zolg 23.12.2014 16:23
Полный статус сигнализации:
Координаты, статус охраны, автозапуска, показания датчиков, и.т.д.

Для управления сигнализацией непосредственно эту уязвимость использовать к счастью не получится.

Но вот для того, чтобы выяснить перемещения владельца - вполне может быть.

scart 23.12.2014 17:48
Ясно, утечка информации чисто.

antiterror 23.12.2014 23:30
Цитата:
Сообщение от Zolg (Сообщение 137276)
У сервиса p-on.ru существует уязвимость,
Так наверное поэтому и переходят на новый сервис pro.p-on.ru
Не спроста решили изменить просуществовавший более 2 лет сервер.

Zolg 24.12.2014 12:10
Ну что же: больше, чем через неделю после первого письма в alarmtrade, их представитель таки вышел на связь. Дыру теперь закрыли.
Желающие оценить, шо це було могут воспользоваться паролем gfyljhfvtyzelbdkztn (ссылка в первом сообщении)

2000VIF 25.12.2014 12:02
Спасибо сказали?
Обычно, в таких случаях спасибо, обеспечивают и дополнительной мотивацией.

Zolg 25.12.2014 16:44
Пандора вообще контора необычная :) Хорошо, хоть исправили.


Часовой пояс GMT +4, время: 17:20.

vBulletin® 3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Перевод: RSN-TeaM (zCarot)