英国のサイバーセキュリティ会社のPen Test Partnersの研究者によると、ロシアのアラームメーカーのPandoraと、米国カリフォルニアに拠点を置くViper(英国でのブランド名はClifford)によって開発されたシステムは、簡単なサーバー側のAPIの操作に脆さを露呈した。米国時間の3月8日に投稿されたところによれば、APIを悪用して、アラームシステムのユーザーアカウントと、その車両の制御を獲得することができたという。
今回の調査は、CalAmp社に対して昨年行われたVangelis Stykasによる研究に続くもの。同社はViperのモバイルアプリの基盤となっているテレマティックスを提供している。Stykasは、後にPen Test Partnersに入社し、カーアラームの調査プロジェクトにも携わった人物。Viperのアプリが、アプリ内にハードコーディングされた認証情報を利用して中央のデータベースにログインしていることを発見した。それにより、ログインしている人は誰でも、接続された車をリモートコントロールすることができる状態になっていた。