Новости Уязвимости у многих автопроизводителей позволяют хакерам в том числе управлять машинами экстренных служб

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50

В том или ином виде уязвимости есть у большинства крупных компаний.


Современные автомобили содержат всё больше различной электроники и всё больше на неё опираются. И это может быть проблемой. Согласно данным исследователя безопасности Сэма Карри (Sam Curry), многочисленные уязвимости электронных системах новых автомобилей уже сейчас могут позволить злоумышленникам удалённо отслеживать и частично даже контролировать такие авто. Хуже того, речь идёт в том числе о машинах различных экстренных служб.



Слабым звеном в данном случае является сайт Spireon Systems. Именно эта компания контролирует данные GPU и прочую телематику для более чем 15 млн устройств, большую часть из которых составляют автомобили, в том числе полицейские авто и машины служб спасения в США.

Проблема в том, что сайт Spireon Systems является устаревшим и лишённым современных методов защиты. Уязвимости могут позволить злоумышленникам не только отслеживать авто, но также разблокировать их, запускать двигатели, отправлять навигационные команды и так далее.

Кроме того, исследователи безопасности смогли получить доступ к корпоративным системам BMW, Mercedes Benz и Rolls Royce. В данном случае речь идёт о других уязвимостях, они не позволяют получить контроль над машиной, но можно получить доступ к конфиденциальным данным. Дыры в безопасности на сайтах Ferrari также позволяют получить доступ к административным привилегиям и удалить всю информацию о клиентах.

Ещё одна особенность — цифровые номерные знаки. Оказалось, что калифорнийские уязвимы для хакеров из-за проблем с безопасностью компании Reviver, которая как раз занималась такими знаками в этом штате.
Керри также поделился данными о том, у каких производителей какие проблемы с безопасностью имеют место на данный момент.

Kia, Honda, Infiniti, Nissan, Acura:
  • Полностью удаленная блокировка, разблокировка, запуск двигателя, остановка двигателя, точное определение местоположения, вспышка фар и подача сигнала транспортным средствам с использованием только VIN-номера.
  • Полностью удаленный захват учетной записи и раскрытие PII через номер VIN (имя, номер телефона, адрес электронной почты, физический адрес)
  • Возможность заблокировать пользователей от удаленного управления своим транспортным средством, сменить владельца
  • Для Kia можно удаленно получить доступ к 360-градусной камере.
Mercedes-Benz:
  • Доступ к сотням критически важных внутренних приложений через неправильно настроенный SSO, включая, несколько экземпляров Github за SSO, внутренний чат для всей компании, возможность присоединиться практически к любому каналу, внутренние сервисы облачного развертывания для управления экземплярами AWS, внутренние API, связанные с транспортным средством
  • Удаленное выполнение кода на нескольких системах
  • Утечки памяти, приводящие к раскрытию личных данных сотрудников/клиентов, доступ к учетной записи
Hyundai, Genesis:
  • Полностью удаленная блокировка, разблокировка, запуск двигателя, остановка двигателя, точное определение местоположения, мигание фарами и сигнализация транспортных средств, используя только адрес электронной почты жертвы.
  • Полностью удаленный захват учетной записи и раскрытие PII через адрес электронной почты жертвы (имя, номер телефона, адрес электронной почты, физический адрес)
  • Возможность заблокировать пользователей от удаленного управления своим транспортным средством, сменить владельца
BMW, Rolls Royce:
  • Основные уязвимости SSO в масштабах всей компании, которые позволили нам получить доступ к любому приложению сотрудника как любому сотруднику, позволили нам получить доступ к внутренним дилерским порталам, где вы можете запросить любой VIN-номер, чтобы получить документы о продаже BMW. Также можно получить доступ к любому приложению, заблокированному с помощью системы единого входа, от имени любого сотрудника, включая приложения, используемые удаленными работниками и дилерскими центрами.
Ferrari:
  • Полный захват учетной записи с нулевым взаимодействием для любой учетной записи клиента Ferrari
  • IDOR для доступа ко всем записям клиентов Ferrari
  • Отсутствие контроля доступа, позволяющее злоумышленнику создавать, изменять, удалять учетные записи администраторов «бэк-офиса» сотрудников и все учетные записи пользователей с возможностью изменять веб-страницы, принадлежащие Ferrari, через систему CMS.
  • Возможность добавлять HTTP-маршруты на api.ferrari.com (rest-connectors) и просматривать все существующие rest-connectors и связанные с ними секреты (заголовки авторизации)
Ford:
  • Полное раскрытие информации о памяти серийного автомобиля Telematics API раскрывает PII клиента и токены доступа для отслеживания и выполнения команд на транспортных средствах
  • Раскрывает учетные данные конфигурации, используемые для внутренних служб, связанных с Телематикой.
  • Возможность пройти аутентификацию в учетной записи клиента и получить доступ ко всей личной информации и выполнять действия в отношении транспортных средств.
  • Захват учетной записи клиента путем неправильного анализа URL позволяет злоумышленнику получить полный доступ к учетной записи жертвы, включая портал автомобиля.
Toyota:
  • IDOR на Toyota Financial, который раскрывает имя, номер телефона, адрес электронной почты и статус кредита любых финансовых клиентов Toyota.
И это не все компании.
Команда Карри заранее сообщила всем компаниям о проблемах, и некоторые уже их решили.

 
Сверху Снизу