Уязвимости в Toyota, BMW, Ferrari, Ford и других приводили к захвату учетных записей, удаленному выполнению кода, произвольному выполнению команд и краже информации.

Более полутора десятков крупных мировых автомобильных или связанных с ними брендов имеют уязвимости в API, телематике и других компонентах, которые могут позволить злоумышленникам контролировать функции автомобиля, такие как разблокировка и запуск двигателей и даже полный захват приложений и транспортных средств. .

Согласно выводам группы из семи исследователей, включая охотника за ошибками и штатного инженера по безопасности Yuga Labs Сэма Карри, продукты 16 крупных производителей автомобилей и трех поставщиков автомобильных технологий имели бреши в безопасности, которые могли привести к захвату учетных записей, удаленному выполнению кода. (RCE), не говоря уже о выполнении команд, ведущих к физическому управлению транспортным средством.

Некоторые уязвимости также могут позволить кражу информации, приводя хакера прямо к личной информации пользователя автомобиля (PII), хранящейся в автомобильном приложении.

Карри впервые обнаружил ошибки безопасности в Hyundai, Genesis, Honda, Acura, Nissan, Infinity и SiriusXM в ноябре 2022 года. Исследование было вызвано обнаружением уязвимостей в парке электрических скутеров, через которые они могли возиться с фарами скутеров.

Карри и шесть других исследователей, в том числе основатель Assetnote Шубхам Шах, старший инженер по безопасности автомобилей красной команды Rivian Нейко Ривера, штатный инженер по безопасности Yugalabs Бретт Бюрхаус, охотник за ошибками Robinhood Ян Кэрролл, исследователь безопасности Western Regional Collegiate Cyber ​​Defense Competition Джастин Райнхарт и охотник за ошибками Майк Роберт. , поделился подробными выводами в рамках практики ответственного раскрытия информации об уязвимостях.

Недостатки, которые теперь исправлены, существовали у поставщика GPS Spireon, поставщика систем связи для транспортных средств SiriusXM и поставщика автомобильных платформ как услуги Reviver, а также у последующих клиентов, включая Roll Royce, BMW, Ferrari, Mercedes-Benz, Jaguar, Porsche, Land Rover, Toyota, Honda, Nissan, Hyundai, Ford, KIA, Acura, Genesis и Infiniti.

К сожалению, все продукты Spireon, используемые в 15,5 миллионах автомобилей и имеющие 1,2 миллиона учетных записей, были затронуты. Одна из этих уязвимостей приводила к удаленному выполнению кода в основных системах, используемых для управления учетными записями пользователей, устройствами и парками.

Еще одна ошибка, которую Карри назвал The Daily Swig «наиболее тревожной находкой», давала администратору полный доступ к панели администрирования всей компании, которая позволяла хакерам считывать местоположение любого устройства, прошивать/обновлять прошивку устройства и отправлять произвольные команды. разблокировать автомобиль, запустить его двигатель, отключить стартер (в том числе у полицейских, машин скорой помощи и правоохранительных органов) и т. д.

Точно так же уязвимость в Reviver может позволить злоумышленнику получить полный суперадминистративный доступ к управлению всеми учетными записями пользователей и автомобилями, подключенными к Revier. Это может отображать местоположение GPS, изменять номерные знаки, обновлять статус транспортного средства на «Украден», получать доступ ко всем пользовательским записям и функциям управления автопарком.

Тем не менее, ошибка SiriusXM привела к утечке ключей AWS, имеющих полный организационный доступ для чтения и записи к его корзине S3, через которую злоумышленник мог получить все файлы, включая пользовательские базы данных, исходный код и файлы конфигурации для продукта.

Кроме того, автомобили Mercedes-Benz были уязвимы из-за неправильно настроенного ключа единого входа, что привело исследователей к нескольким экземплярам Github, внутреннему инструменту чата, используемому в компании, SonarQube, Jenkins и другим серверам сборки, внутренним облачным службам развертывания и многому другому. Автомобили немецкого автопроизводителя также были уязвимы для RCE, раскрытия PII и доступа к учетной записи.

Ошибка в Ferrari позволяла без взаимодействия с учетной записью захватывать любую учетную запись клиента, записи клиентов; создавать, изменять, удалять учетные записи сотрудников-администраторов; и т.п.

Автомобили BMW и Rolls Royce имели основные уязвимости SSO, которые могли позволить хакеру получить доступ к внутренним порталам дилеров (получить VIN-номер и документы о продажах) и получить доступ ко всем приложениям, защищенным с помощью SSO, в качестве сотрудника.

Автомобили Toyota были уязвимы для IDOR или уязвимости небезопасных прямых ссылок на объекты, что позволяло раскрыть имя, номер телефона, адрес электронной почты и статус кредита любых финансовых клиентов Toyota. У Jaguar и Land Rover также была ошибка IDOR, которая могла раскрыть хэш пароля, имя, номер телефона, физический адрес и информацию об автомобиле.

Автомобили Kia, Honda, Infiniti, Nissan, Acura, Hyundai и Genesis можно было полностью запирать и разблокировать удаленно. Хакеры также могли запускать и останавливать двигатели, определять местонахождение автомобиля, мигать фарами и сигналить транспортным средствам, используя только VIN-номер.

Эти автомобили также были уязвимы для удаленного захвата учетной записи и PII, включая имя, номер телефона, адрес электронной почты, физический адрес и раскрытие через VIN-номер. Более того, жучок в Kia транслировал изображение с камеры кругового обзора и изображения в реальном времени. У Ford и Porsche есть соответствующие проблемы в телематике, которые могут раскрывать местоположение, персональные данные и многое другое.

«Судя по всему, автомобильные компании действительно поспешили установить эти устройства», — сказал Карри The Daily Swig. «В настоящее время эти установки в основном имеют ограниченную функциональность, поэтому вы можете выполнять только такие действия, как отслеживание, разблокировка и запуск транспортного средства, но такие компании, как Tesla и Rivian, создают больше подключенных транспортных средств, которыми можно фактически управлять удаленно, я беспокоюсь о том, что давление рынка заставит эти компании создавать недоработанные решения, которые открыты для атак».