Современные автомобили содержат всё больше различной электроники и всё больше на неё опираются. И это может быть проблемой. Согласно данным исследователя безопасности Сэма Карри (Sam Curry), многочисленные уязвимости электронных системах новых автомобилей уже сейчас могут позволить злоумышленникам удалённо отслеживать и частично даже контролировать такие авто. Хуже того, речь идёт в том числе о машинах различных экстренных служб.
Слабым звеном в данном случае является сайт Spireon Systems. Именно эта компания контролирует данные GPU и прочую телематику для более чем 15 млн устройств, большую часть из которых составляют автомобили, в том числе полицейские авто и машины служб спасения в США.
Проблема в том, что сайт Spireon Systems является устаревшим и лишённым современных методов защиты. Уязвимости могут позволить злоумышленникам не только отслеживать авто, но также разблокировать их, запускать двигатели, отправлять навигационные команды и так далее.
Кроме того, исследователи безопасности смогли получить доступ к корпоративным системам BMW, Mercedes Benz и Rolls Royce. В данном случае речь идёт о других уязвимостях, они не позволяют получить контроль над машиной, но можно получить доступ к конфиденциальным данным. Дыры в безопасности на сайтах Ferrari также позволяют получить доступ к административным привилегиям и удалить всю информацию о клиентах.
Ещё одна особенность — цифровые номерные знаки. Оказалось, что калифорнийские уязвимы для хакеров из-за проблем с безопасностью компании Reviver, которая как раз занималась такими знаками в этом штате.
Керри также поделился данными о том, у каких производителей какие проблемы с безопасностью имеют место на данный момент.
Kia, Honda, Infiniti, Nissan, Acura:
- Полностью удаленная блокировка, разблокировка, запуск двигателя, остановка двигателя, точное определение местоположения, вспышка фар и подача сигнала транспортным средствам с использованием только VIN-номера.
- Полностью удаленный захват учетной записи и раскрытие PII через номер VIN (имя, номер телефона, адрес электронной почты, физический адрес)
- Возможность заблокировать пользователей от удаленного управления своим транспортным средством, сменить владельца
- Для Kia можно удаленно получить доступ к 360-градусной камере.
Mercedes-Benz:
- Доступ к сотням критически важных внутренних приложений через неправильно настроенный SSO, включая, несколько экземпляров Github за SSO, внутренний чат для всей компании, возможность присоединиться практически к любому каналу, внутренние сервисы облачного развертывания для управления экземплярами AWS, внутренние API, связанные с транспортным средством
- Удаленное выполнение кода на нескольких системах
- Утечки памяти, приводящие к раскрытию личных данных сотрудников/клиентов, доступ к учетной записи
Hyundai, Genesis:
- Полностью удаленная блокировка, разблокировка, запуск двигателя, остановка двигателя, точное определение местоположения, мигание фарами и сигнализация транспортных средств, используя только адрес электронной почты жертвы.
- Полностью удаленный захват учетной записи и раскрытие PII через адрес электронной почты жертвы (имя, номер телефона, адрес электронной почты, физический адрес)
- Возможность заблокировать пользователей от удаленного управления своим транспортным средством, сменить владельца
BMW, Rolls Royce:
- Основные уязвимости SSO в масштабах всей компании, которые позволили нам получить доступ к любому приложению сотрудника как любому сотруднику, позволили нам получить доступ к внутренним дилерским порталам, где вы можете запросить любой VIN-номер, чтобы получить документы о продаже BMW. Также можно получить доступ к любому приложению, заблокированному с помощью системы единого входа, от имени любого сотрудника, включая приложения, используемые удаленными работниками и дилерскими центрами.
Ferrari:
- Полный захват учетной записи с нулевым взаимодействием для любой учетной записи клиента Ferrari
- IDOR для доступа ко всем записям клиентов Ferrari
- Отсутствие контроля доступа, позволяющее злоумышленнику создавать, изменять, удалять учетные записи администраторов «бэк-офиса» сотрудников и все учетные записи пользователей с возможностью изменять веб-страницы, принадлежащие Ferrari, через систему CMS.
- Возможность добавлять HTTP-маршруты на api.ferrari.com (rest-connectors) и просматривать все существующие rest-connectors и связанные с ними секреты (заголовки авторизации)
Ford:
- Полное раскрытие информации о памяти серийного автомобиля Telematics API раскрывает PII клиента и токены доступа для отслеживания и выполнения команд на транспортных средствах
- Раскрывает учетные данные конфигурации, используемые для внутренних служб, связанных с Телематикой.
- Возможность пройти аутентификацию в учетной записи клиента и получить доступ ко всей личной информации и выполнять действия в отношении транспортных средств.
- Захват учетной записи клиента путем неправильного анализа URL позволяет злоумышленнику получить полный доступ к учетной записи жертвы, включая портал автомобиля.
Toyota:
- IDOR на Toyota Financial, который раскрывает имя, номер телефона, адрес электронной почты и статус кредита любых финансовых клиентов Toyota.
И это не все компании.
Команда Карри заранее сообщила всем компаниям о проблемах, и некоторые уже их решили.