Ключ под ковриком или Pandora X18 (X1800BT) с сюрпризом от официального дилера
 

В автосалоне поcтавили сигналку Pandora X18 на новую машину (полный аналог X1800BT).
Несколько дней назад смотрю в событиях появились пару звонков с непонятных номеров, подумал спамеры. Вдрух сегодня мне приходит push уведомление - снятие с охраны, постановка и снова снятие. В этот раз номер Алло-инкогнито.
В техподдержке пандоры узнаю недокументированную уязвимость. Оказывается если не прописать основной номер в системе, то можно запросить у сигналки ее местонахождение и снять с охраны с абсолютно любого номера БЕЗ ЗАПРОСА гостевого пин-кода. Для этого достаточно знать номер системы.
Казалось бы номер тел ведь закрашен на карточке, но кто мешает установщику вынуть симку и легко узнать номер позвонив с нее. Второй вариант - поскольку тарифный план известный, могут слить операторы сотовой связи. Третий вариант - банальный обзвон.
Вопрос к представителям пандоры, почему такое поведение выставлено по умолчанию? И почему нет предупреждения в самой программе что управление доступно с любого номера? Или это такой бекдур для автоугонщиков?
Ведь после снятия с охраны в корейских машинах достаточно коротнуть can-шину скрепкой и блокировка двигателя уже не сработает (в отсутствие метки). Или просто выдернуть сигналку с разъемов, благо найти ее в салоне минутное дело с помощью сканера BT по уровню сигнала. И если нет замка капота и подкапотных блокировок, то машина обречена.
Зачем вообще включать по умолчанию режим снятие с охраны по GSM без ввода пин-кода для основного номера?
Ведь даже при установленном основном номере и измененном гостевом пин-коде злумышленники могут подогнать ложную GSM-базовую станцию размером с ноутбук и позвонить с нее от имени владельца.
И это не фантастика
https://www.youtube.com/watch?v=ZtFsQTDbE6I
http://www.kondrashov-lab.ru/v-tyilu...-podmenoj-gsm/

В автосалоне поставили ..... Плюсминускан . Блокировка двигателя хоть есть ?

Будет дооборудована конечно и замками капота и доп. бокировками, еще не успел поставить. Поэтому и держу в охраняемом гараже под камерой с датчиком движения.

Тут сам факт, такой подлянки я не ожидал от пандоры. Мне даже в голову не пришло протестировать звонок на сигналку с любого номера. Оказывается все надо перепроверять.

Ну это скорее не уязвимость, а для облегчения проверки работы системы и простой смены номера владельца.

Не будет сим-карта работать в другом устройстве.

Почему не будет? Это какая то необычная сим-карта?

Если даже так, остается слив базы с тарифом для сигналок и прозвон. И довольно оперативно, машина недавно из салона.
В МТС не подтвердили Вашу версию, про сим карты с привязкой к устройству, это что-то новое. Когда буду доукомплектовывать проверю, сейчас разбирать неохота. На форумах пишут что сим карта с пандоры работает в телефоне.


Добавлено через 5 минут

Такая забота конечно радует, но почему об этом не написано в инструкции на первом странице крупным шрифтом, например так
ВНИМАНИЕ! Сигналка не защищена, нужно ввести основной номер в систему. До этого момента есть риск снятия с охраны и установление местонахождения авто злоумышленниками с любого телефонного номера.

Поскольку этого предупреждения нету, значит уязвимость.

Добавлено через 1 час 24 минуты

Кстати если этот форум читают представители Пандоры. Почему бы не сделать защиту в новых сигналках от подмены базовой станции. Например в известной проге под андроид SnoopSnitch. https://opensource.srlabs.de/projects/snoopsnitch
можно определить подмену БС.

SnoopSnitch собирает и анализирует данные мобильной радиосвязи, чтобы вы знали об общей безопасности мобильной сети, к которой подключено ваше устройство, и предупреждать вас об угрозах, таких как поддельные базовые станции (ловушки IMSI),

Далее наверняка есть модемы которые умеют принудительно подключатся к нужной БС, игнорирую ложную.

Добавлено через 31 минуту

Самое интересное, я перезвонил на номер с которого звонили, там сказали что номер не используется и доступен для подключения



На сайте номер свободен

Проблема высосана из пальца. Итак по порядку:
1. Когда вы покупали машину, то должны были проверить поведение охранной сигнализации при тревоге: позвонит она вам и через сколько. Так бы сделал любой адекватный человек. Она бы вам не позвонила, возник вопрос почему и номер бы вам прописали.
2. Номер не прописывают сразу, потому что будущий владелец не известен. Пока номера нет любой может пользоваться системой для проверки и настройки - это нормально.
3. Открою ОГРОМНУЮ тайну, но установщик прекрасно видит номер симки при настройке, ему не нужно вставлять сим в телефон и звонить.
4. Симка работает только в той системе, куда её изначально установили.
5. Если номер владельца прописать через 8, а не +7 то замена базовой станции не прокатит, нужно знать гостевой пин.
6. Есть так же настройка, при которой гостевой пин нужно вводить всегда - это тоже защита от подмены базовой станции.

Добавлено через 4 минуты

Прописка номера: находясь в машине звоните на систему с основного номера, после ответа нужно удержать кнопку на метке 2с. Номер прописан. Это займет несколько секунд, и неужели это трудно было сделать для вас сотрудникам автосалона при выдаче автомобиля.

Не совсем понятно чем 8 и +7 различаются для базовой станции

Различие для сигнализации, если забить 8, то звонить на номер будет, а при звонке на систему определяется через +7, соответственно для системы номера разные, будет запрос пина.

Какая подмена станций в жизни .Никто не будет этим заниматься , ну может на совсем лакомых LX570 , но там же скорее всего не будет 1800 никогда .
Оборудование стоит около 6 млн . , о чем и сообщают в своих закошмаривающих народ роликах АК и А.Курчанов

Я сразу поставил приложение под андроид на телефон и через него проверял. Поскольку я эту сигналку видел в первый раз откуда мне было знать что она должна еще и звонить при тревоге. Push сообщения присылала. значит реагирует. Без метки глохла при трогании с места. Если установщик знал о таком поведении и на выдаче не прописал номер в систему, значит это преднамеренное действие. Но если бы машину угнали я бы ничего не доказал.
Кроме установщика, про отсутсвие в системе основного номера знало андроидовское приложение пандора и сайт pro.p-on.ru Почему разработчики не озаботились показывать предупреждение в приложении это самый главный вопрос.

Добавлено через 13 минут

https://spb.megafon.ru/corporate/mob...femtosota.html
БС с аплинком через интернет. Стоит копейки. Наверное всем разработчикам электроники известен факт, что любое устройство можно полностью склонировать включая дизайн многослойной печатной платы и прошивку что давно делают в Китае. Модифицировать прошивку думаю тоже не составит большого труда.

В данном случае при звонке с несуществующего номера скорее всего был использован Caller ID Spoofing. Кому интересно есть статьи на хабре и не только.
Т.е. подмена БС и не нужна если известен номер владельца.

Так что у кого Пандора GSM рекомендую зайти в настройки и отключить снятие с охраны по GSM, и поставить запрос пин-кода на управление с основного номера на все остальные действия. Спрашывается нафига это вообще открыто по дефолту, ведь функционал управления по звонку нужен только для управления с кнопочных телефонов.

Прверил 2 номера с которых звонили ранее. Один номер обзвона из банка. Второй левый неактивен. Звонили с него в среду, вероятно узнавали координаты местности где машина стоит. Наверное расчет был на то что машина стоит на платной стоянке на улице, на которую можно легко зайти открыть машину и уехать. И такая стоянка действительно присутствует по соседству. Зачем два раза снимали, ставили? Не могли сразу визуально машину найти и наверное кто-то ходил по стоянке искал машину по звуку и миганию фар.Или увидели точно такую-же на стоянке, машина очень распространена, проверяли снимется с охраны или нет.

Это недоработка менеджера, который выдавал вам автомобиль.

Установщик в автосалоне понятия не имеет кто и когда купит машину, и не должен бегать и интересоваться об этом.

Не только для кнопочных, например выехали за город, интернета нет, но ЖСМ есть. Получаем не работающее приложение, но управлять можно через команды. Или включение блокировки 666*, отключение блокировки 999*, отключение опроса меток 998* и другие команды, доступны только в режиме DTMF команд.

Просто вам не повезло с менеджером.

Выдавал начальник отдела продаж, кроме того позвали установщика по моей просьбе, который с трудом смог показать где установили валет. Я конечно сразу проверил число меток в системе и привязанные телефоны а также работоспособность блокировки без метки. И на этом все. Теперь то конечно я знаю что сигналка с GSM по дефоулту работает в демо режиме - ключ под ковриком с бесплатным сервисом поиска по LBS. Удобно... для угонщика.

К стати, гостевой и сервисный пин-коды тоже надо бы сменить

При активации она привязывается к IMEI и не будет работать в других устройствах

Зачем так сложно? Номер сим-карты забит в настройках сигнализации.

Тут я с Вами полностью согласен

Можно также в настройках отключить возможность снять автомобиль с охраны по звонку с телефона и из приложения. Что бы потеря или кража телефона не привела к угону автомобиля.

Если вы не способны уследить за телефоном, стоит-ли приобретать автомобиль?

Отключать снятие с телефона нужно в любом случае, бывает приходится оставлять свой номер на парковке и если тел сиги слит установщиками можно и без подмены БС позвонить с номера владельца через любой платный сервис подмены номера. Или например номер узнали прозвонщики и затем продали базу номеров с пандорами. Я теперь кажется начинаю понимать нафига названивают и трубку бросают.

А это еще один косяк пандоры. Если номер тел на карточке закрашен, то возникает ложное чувство безопасности что номер никому не известен, а оказывается в проге пандора специалист, номер светится для установщика. Неужели сложно было поле типа password сделать чтобы звездочки светились после набора.Да и собственно нафига вообще сигналке знать свой номер, она же себе звонить не будет.

Добавлено через 3 минуты

Еще одна недоработка, нельзя настроить белый список номеров, чтобы просто тупо сбрасывались все номера которые не прописаны.

Можно отключить гостевой вход и тогда управлять можно будет только с номера владельца, а также дополнительного номера владельца. Правда если Вас выкинут из машины без телефона, то не получится с любого ближайшего заблокировать машину. Можно также сделать, чтобы гостевой пин-код запрашивался для всех номеров.

Даже цели такой нет за ним следить это же телефон, а не пистолет))

Если машина настолько дорогая что из нее выкидывают на перекрестке, думаю найдутся деньги подключить услугу спутник с поддержкой группы быстрого реагирования.

Можно ... Например лочить двери при начале движения .

Интересно, а если направлять СМС и звонки по событиям не на основной, а на дополнительный номер, то угонщики при перехвате не смогут определить основной номер? Или все равно смогут это сделать по пушам?

Просто отключить снятие с охраны по GSM и все. Все остальные действия даже с основного номера с обязательным вводом пин-кода.
Я просто фигею, оказывается на хабре есть статья в открытом доступе описание с ссылками на открытые проекты БС для 2G. И SDR радио стоит копейки.
Нужно ставить замки капота, бронировать пленкой окна, штыри в двери и микроволновый датчик в салон, если делать по максимуму. На случай кражи ключей с меткой, вторичная авториция штатными кнопками.
Если внаглую шли на угон среди белого дня, то не очень удивлюсь если у них есть дубликат ключа с имобилайзером. Они же знали номер сиги, а этот номер знал только установщик.

Так и поступил, причем ввод пинкода сделал автоматическим после набора номера сигнализации из записной книжки (через паузу). Очень удобно.