A:"Du menar att din nyckelfria bil blev stulen trots ditt larm?" B:"Nej, min bil stals på grund av mitt larm." Är detta vettigt? Det skulle du göra om du läser om ett brittiskt säkerhetsföretags upptäckter när de tittade på tredjeparts billarm.

I korthet, säkerhetshål hittades i larm från tredje part som dyker upp i bilar som är välkända. Ja, de pratade om de där larm som erbjuder att hindra bilar från att bli kapade. De har möjlighet för en person att starta bilen från en smartphone-app. Tänker du vad vi tänker? Smartphone app? Med en osäker larmapp, forskarna kunde (1) aktivera billarm, (2) lås upp bildörrarna och (3) starta motorn.

Säkerhetsforskarna utnyttjade de märken som kunde lämna dörren öppen (ett lämpligt skämt) för att ta kontrollen. De såg ett antal svagheter i två testade larmprodukter. Dessa inkluderade upptäckten att bilen kunde geolokaliseras i realtid, biltyp kunde identifieras, kunde starta motorn på distans och i vissa fall kan motorn dödas.

Forskningen utfördes för BBC:s Click-teknologiprogram av Storbritannien-baserade Pen Test Partners, i branschen för att upptäcka mjukvarubrister via penetrationstestning och säkerhetstjänster. De betalade ut 5 dollar, 000 för att köpa och montera de smarta larmen för bilar.

En video på BBC News visade två hackare som väntade på att göra sitt drag på en utvald – sedan instängd – bil. Offret i den svarta bilen hade ingen aning (som återskapat) om vad som var på väg att hända. Bilpaniklarmet gick, får föraren att stanna. Och då, i en liten bil bakom offrets bil, angriparna tog sig ut och tog kontroll över dörrlåsen.

"Gå ut ur bilen. Ge mig dina nycklar."

Teamet kontaktade de inblandade leverantörerna och gav dem 7 dagar på sig att ta ner eller fixa de sårbara API:erna. Lyckligtvis, företagen svarade på exponeringen och de har uppgraderat säkerheten för att ta bort bristerna.

En brittisk representant på ett av företagen svarade inom cirka 48 timmar och fick deras andra kontor att agera snabbt. Fixningen var över en natt; det andra företaget hade en fix också.

Pen Test Partners bedömde säljarnas reaktioner, och sa att "svaret från båda leverantörerna var faktiskt ganska bra. De erkände, svarade, vidtog omedelbara åtgärder och verifierade det. En lektion för alla IoT-leverantörer där!"

"Eftersom fler saker är nätverkskontrollerbara, säkerhet blir viktigare och viktigare, " sa Hackaday. När det gäller BBC-läsarnas svar, det verkar som om det finns ett bilägande segment som inte är imponerade av teknikens steg framåt. De är inte bara oimponerade utan beklagar det ökade beroendet av teknik som påverkar bilens funktioner.

En kommentar var att "det finns ingen 'Intelligence' i någon mjukvara .. det är inget annat än statistik/sannolikhet. Det är med andra ord en tidsfråga innan fel val görs."

En annan kommentar sa att han önskade att han kunde köpa en bil "utan all automatisering. Jag vill inte att datorn slår på torkarna åt mig, eller ändra vinkeln på mina strålkastare när jag svänger, eller piper till mig när jag byter fil. Farliga distraktioner. Jag kör; Jag borde ha kontroll över bilen."

Ännu en:"Om den [sic] är ansluten till internet, den är hackbar, oavsett om det är en bil eller ett kärnkraftverk. Jag arbetade för ett företag som arbetar med säkerhetskritisk transportinfrastruktur, och vi hade en strikt regel att operativ utrustning aldrig var ansluten till internet, oavsett om det är VPN eller annan säkerhetsteknik."

Andra kommentarer tyder på åsikter om att fokus inte bör ligga på mjukvarans bräckliga natur utan på behovet av grundlig testning och felsökning innan en produkt kan släppas.

En kommentar tittade på hur företagen i det här fallet reagerade snabbt. Säkerhetsbrister är ett faktum i det digitala livet, så bara ta itu med det. De viktigaste fokuspunkterna är "avslöjande av sårbarhet och effektiv åtgärd" som är ett "avgörande mått på förtroende." Kommentaren tillade att mer borde göras av att svara inom 7 dagar än aspekten "var rädd!"

© 2019 Science X Network