Различные уязвимости у многих автопроизводителей позволяют хакерам в том числе управлять машинами экстренных служб

Современные автомобили содержат всё больше различной электроники и всё больше на неё опираются. И это может быть проблемой. Согласно данным исследователя безопасности Сэма Карри (Sam Curry), многочисленные уязвимости электронных системах новых автомобилей уже сейчас могут позволить злоумышленникам удалённо отслеживать и частично даже контролировать такие авто. Хуже того, речь идёт в том числе о машинах различных экстренных служб. 

Различные уязвимости у многих автопроизводителей позволяют хакерам в том числе управлять машинами экстренных служб

Слабым звеном в данном случае является сайт Spireon Systems. Именно эта компания контролирует данные GPU и прочую телематику для более чем 15 млн устройств, большую часть из которых составляют автомобили, в том числе полицейские авто и машины служб спасения в США.  

Проблема в том, что сайт Spireon Systems является устаревшим и лишённым современных методов защиты. Уязвимости могут позволить злоумышленникам не только отслеживать авто, но также разблокировать их, запускать двигатели, отправлять навигационные команды и так далее.  

Кроме того, исследователи безопасности смогли получить доступ к корпоративным системам BMW, Mercedes Benz и Rolls Royce. В данном случае речь идёт о других уязвимостях, они не позволяют получить контроль над машиной, но можно получить доступ к конфиденциальным данным. Дыры в безопасности на сайтах Ferrari также позволяют получить доступ к административным привилегиям и удалить всю информацию о клиентах. 

Ещё одна особенность — цифровые номерные знаки. Оказалось, что калифорнийские уязвимы для хакеров из-за проблем с безопасностью компании Reviver, которая как раз занималась такими знаками в этом штате.  

Керри также поделился данными о том, у каких производителей какие проблемы с безопасностью имеют место на данный момент. 

Kia, Honda, Infiniti, Nissan, Acura: 

  • Полностью удаленная блокировка, разблокировка, запуск двигателя, остановка двигателя, точное определение местоположения, вспышка фар и подача сигнала транспортным средствам с использованием только VIN-номера. 
  • Полностью удаленный захват учетной записи и раскрытие PII через номер VIN (имя, номер телефона, адрес электронной почты, физический адрес) 
  • Возможность заблокировать пользователей от удаленного управления своим транспортным средством, сменить владельца 
  • Для Kia можно удаленно получить доступ к 360-градусной камере. 

Mercedes-Benz: 

  • Доступ к сотням критически важных внутренних приложений через неправильно настроенный SSO, включая, несколько экземпляров Github за SSO, внутренний чат для всей компании, возможность присоединиться практически к любому каналу, внутренние сервисы облачного развертывания для управления экземплярами AWS, внутренние API, связанные с транспортным средством 
  • Удаленное выполнение кода на нескольких системах 
  • Утечки памяти, приводящие к раскрытию личных данных сотрудников/клиентов, доступ к учетной записи 

Hyundai, Genesis: 

  • Полностью удаленная блокировка, разблокировка, запуск двигателя, остановка двигателя, точное определение местоположения, мигание фарами и сигнализация транспортных средств, используя только адрес электронной почты жертвы. 
  • Полностью удаленный захват учетной записи и раскрытие PII через адрес электронной почты жертвы (имя, номер телефона, адрес электронной почты, физический адрес) 
  • Возможность заблокировать пользователей от удаленного управления своим транспортным средством, сменить владельца 

BMW, Rolls Royce: 

  • Основные уязвимости SSO в масштабах всей компании, которые позволили нам получить доступ к любому приложению сотрудника как любому сотруднику, позволили нам получить доступ к внутренним дилерским порталам, где вы можете запросить любой VIN-номер, чтобы получить документы о продаже BMW. Также можно получить доступ к любому приложению, заблокированному с помощью системы единого входа, от имени любого сотрудника, включая приложения, используемые удаленными работниками и дилерскими центрами. 

Ferrari: 

  • Полный захват учетной записи с нулевым взаимодействием для любой учетной записи клиента Ferrari 
  • IDOR для доступа ко всем записям клиентов Ferrari 
  • Отсутствие контроля доступа, позволяющее злоумышленнику создавать, изменять, удалять учетные записи администраторов «бэк-офиса» сотрудников и все учетные записи пользователей с возможностью изменять веб-страницы, принадлежащие Ferrari, через систему CMS. 
  • Возможность добавлять HTTP-маршруты на api.ferrari.com (rest-connectors) и просматривать все существующие rest-connectors и связанные с ними секреты (заголовки авторизации) 

Ford:

  • Полное раскрытие информации о памяти серийного автомобиля Telematics API раскрывает PII клиента и токены доступа для отслеживания и выполнения команд на транспортных средствах 
  • Раскрывает учетные данные конфигурации, используемые для внутренних служб, связанных с Телематикой. 
  • Возможность пройти аутентификацию в учетной записи клиента и получить доступ ко всей личной информации и выполнять действия в отношении транспортных средств. 
  • Захват учетной записи клиента путем неправильного анализа URL позволяет злоумышленнику получить полный доступ к учетной записи жертвы, включая портал автомобиля. 

Toyota: 

  • IDOR на Toyota Financial, который раскрывает имя, номер телефона, адрес электронной почты и статус кредита любых финансовых клиентов Toyota. 

И это не все компании.  

Команда Карри заранее сообщила всем компаниям о проблемах, и некоторые уже их решили.