Bilgisayar korsanları, yirmiye yakın otomobil üreticisi ve hizmetindeki API güvenlik açıkları aracılığıyla kötü niyetli faaliyetler gerçekleştirmiş olabilir. Bu güvenlik açıklarının bir sonucu olarak, bilgisayar korsanları aşağıdaki etkinlikleri gerçekleştirebilir: –
- Arabaların kilidini açma
- Arabaları çalıştırma
- arabaları takip etme
- Müşterilerin kişisel bilgilerinin ifşa edilmesi
Yirmi araba markasının tamamı, bu güvenlik kusurlarından etkilenen tanınmış markalardır. Güvenlik açıklarından etkilenen markalar arasında ayrıca akış hizmetleri ve aşağıdakiler gibi diğer araç teknolojisi markaları yer alıyor: –
- Spireon
- Canlandırmak
- SiriusXM
Sam Curry liderliğindeki bir araştırma ekibi, API üzerinde kapsamlı araştırmalar yaptıktan sonra bu API kusurlarını keşfetti. Bu yılın başlarında Curry, bilgisayar korsanlarının bu kusurlara sahip arabaların kilidini açmak ve çalıştırmak için bu hataları nasıl kullandıklarını ortaya çıkardı.
Bu raporda sunulan tüm sorunlar, etkilenen satıcılar tarafından giderildiğinden, şu anda kullanılabilir bir açıktan yararlanma yoktur. Ancak, BMW ve Mercedes-Benz’in en ciddi API kusurlarına sahip olduğu bulundu.
Etkilenen Araba Markaları ve İlgili Güvenlik Açıkları
Aşağıda listelenen şirketlerde tespit edilen birkaç güvenlik açığı vardır ve bunları aşağıda özetledik: –
Kia, Honda, Infiniti, Nissan, Acura
- Yalnızca VIN numarasını kullanarak tamamen uzaktan kilitleme, kilit açma, motor çalıştırma, motor durdurma, hassas yer belirleme, flaşör farları ve korna çalma
- VIN numarası (isim, telefon numarası, e-posta adresi, fiziksel adres) aracılığıyla tamamen uzaktan hesap devralma ve PII ifşası
- Kullanıcıları araçlarını uzaktan yönetmekten alıkoyabilme, mülkiyeti değiştirebilme
- Kia’ya özel olarak, 360-görüntü kamerasına uzaktan erişebildik ve arabadan canlı görüntüleri izleyebildik.
mercedes-benz
- Yanlış yapılandırılmış SSO aracılığıyla görev açısından kritik yüzlerce dahili uygulamaya erişim.
- SSO’nun arkasındaki Birden Çok Github örneğine erişim.
- Şirket çapında dahili sohbet aracına erişim, hemen hemen her kanala katılma yeteneği.
- SonarQube, Jenkins, çeşitli erişim. sunucular oluşturun.
- AWS bulut sunucularını yönetmek için Dahili bulut devreye alma hizmetlerine erişim.
- Dahili Araçla ilgili API’lere erişim.
- Birden çok sistemde Uzaktan Kod Yürütme.
- Çalışan/müşteri PII ifşasına, hesap erişimine yol açan bellek sızıntıları.
hyundai doğuş
- Yalnızca kurbanın e-posta adresini kullanarak tamamen uzaktan kilitleme, kilit açma, motor çalıştırma, motor durdurma, hassas yer belirleme, flaşör farlar ve korna çalma.
- Kurbanın e-posta adresi (isim, telefon numarası, e-posta adresi, fiziksel adres) aracılığıyla tamamen uzaktan hesap devralma ve PII ifşası.
- Kullanıcıları araçlarını uzaktan yönetmekten alıkoyabilme, mülkiyeti değiştirebilme.
BMW, Rolls Royce
- Herhangi bir çalışan uygulamasına herhangi bir çalışan olarak erişmemize izin veren şirket çapında temel SSO güvenlik açıkları.
- BMW satış belgelerini almak için herhangi bir VIN numarasını sorgulayabileceğiniz dahili bayi portallarına erişim.
- Uzak çalışanlar ve bayiler tarafından kullanılan uygulamalar da dahil olmak üzere, herhangi bir çalışan adına SSO’nun arkasında kilitli olan tüm uygulamalara erişin.
ferrari
- Herhangi bir Ferrari müşteri hesabı için tam sıfır etkileşimli hesap devralma.
- Tüm Ferrari müşteri kayıtlarına erişmek için IDOR.
- Bir saldırganın çalışan “arka ofis” yönetici kullanıcı hesaplarını ve Ferrari’ye ait web sayfalarını CMS sistemi aracılığıyla değiştirme yeteneğine sahip tüm kullanıcı hesaplarını oluşturmasına, değiştirmesine ve silmesine izin veren erişim kontrolünün olmaması.
- api.ferrari.com’a (rest-connectors) HTTP rotaları ekleme ve mevcut tüm rest-connector’ları ve bunlarla ilişkili sırları (yetkilendirme başlıkları) görüntüleme yeteneği.
Spireon
- Tahminen 15,5 milyon araca isteğe bağlı komutlar gönderme (kilit açma, motoru çalıştırma, marş devre dışı bırakma vb.), herhangi bir cihaz konumunu okuma ve cihaz sabit yazılımını flash/güncelleme özelliklerine sahip, şirket çapında bir yönetim paneline tam yönetici erişimi.
- Kullanıcı hesaplarını, cihazları ve filoları yönetmek için çekirdek sistemlerde uzaktan kod yürütme. Tüm Spireon’daki tüm verilere erişme ve bunları yönetme yeteneği.
- Herhangi bir filoyu tamamen ele geçirme yeteneği (bu, polis, ambulanslar ve polis araçları için marş motorlarını birkaç farklı büyük şehir için takip etmemize ve kapatmamıza ve bu araçlara komutlar göndermemize, örneğin “bu konuma gidin”) izin verirdi. .
- Tüm Spireon ürünlerine tam yönetim erişimi.
- 15,5 milyon cihaza erişim (çoğunlukla araçlar).
- 1,2 milyon kullanıcı hesabına erişim (son kullanıcı hesapları, filo yöneticileri vb.).
ford
- Üretim aracı Telematics API ifşasında tam bellek ifşası.
- Araçlarda komutları izlemek ve yürütmek için müşteri PII’sini ve erişim belirteçlerini açıklar.
- Telematik ile ilgili dahili hizmetler için kullanılan yapılandırma kimlik bilgilerini açıklar.
- Müşteri hesabında kimlik doğrulaması yapma ve tüm PII’lara erişme ve araçlara karşı eylemler gerçekleştirme yeteneği.
- Uygunsuz URL ayrıştırma yoluyla müşteri hesabının ele geçirilmesi, bir saldırganın araç portalı da dahil olmak üzere kurban hesabına tamamen erişmesine olanak tanır.
Canlandırmak
- Reviver bağlantılı tüm araçlar için tüm kullanıcı hesaplarını ve araçları yönetmek için tam süper yönetici erişimi.
- Fiziksel GPS konumunu takip edin ve tüm Reviver müşterileri için plakayı yönetin (örneğin, plakanın altındaki sloganı gelişigüzel bir metne dönüştürmek).
- Herhangi bir araç durumunu, plakayı güncelleyen ve yetkilileri bilgilendiren “ÇALINDI” olarak güncelleyin.
- Kişilerin sahip olduğu araçlar, fiziksel adresleri, telefon numaraları ve e-posta adresleri dahil olmak üzere tüm kullanıcı kayıtlarına erişin.
- Herhangi bir şirket için filo yönetimi işlevine erişin, bir filodaki tüm araçları bulun ve yönetin.
Porsche
- Araç Telematik hizmetini etkileyen güvenlik açıkları aracılığıyla araç konumu alma, araç komutları gönderme ve müşteri bilgilerini alma yeteneği.
toyota
- IDOR, herhangi bir Toyota finansal müşterisinin adını, telefon numarasını, e-posta adresini ve kredi durumunu ifşa eder.
jaguar, kara rover
- Parola karması, ad, telefon numarası, fiziksel adres ve araç bilgilerini ifşa eden kullanıcı hesabı IDOR’u.
SiriusXM
- Tam kurumsal okuma/yazma S3 erişimi, kullanıcı veritabanları (görünen o ki) dahil tüm dosyaları, kaynak kodunu ve Sirius için yapılandırma dosyalarını alma becerisine sahip sızdırılmış AWS anahtarları.
Bir Aracın Konumunu İzlemek için GPS Kullanma
Ayrıca, bu güvenlik açıkları, bilgisayar korsanlarına arabaları gerçek zamanlı olarak takip etme, milyonlarca araç sahibini potansiyel güvenlik risklerine maruz bırakma ve onların bilgisi olmadan mahremiyetlerini ihlal etme olanağı da verebilirdi.
Porsche’nin telematik sistemindeki bir kusur, saldırganların araçların konumunu öğrenmesine ve kusuru kullanarak komutlar göndermesine olanak tanıyarak, Porsche’yi bu sorundan etkilenen markalardan biri haline getirdi.
Bir GPS izleme yazılımı çözümü olan Spireon’da da güvenlik açıkları vardı. Saldırganlara şirketin uzaktan yönetim paneline tam erişim sağlayarak şunları yapabilmelerini sağlar:-
- Arabaların kilidini açma
- Motorları çalıştırma
- Başlatıcıları devre dışı bırakma
Ek olarak, dijital plaka üreticisi Reviver da savunmasızdır ve bu, yönetici panelini kimliği doğrulanmamış uzaktan erişime karşı fazlasıyla savunmasız hale getirir.
Öneri
Araç sahipleri, araçlarının veya mobil refakatçi uygulamalarının onlar hakkında yalnızca sınırlı kişisel bilgilere sahip olduğundan emin olarak bu güvenlik açıklarının riskini en aza indirebilir.
Araç içi telematik sisteminde en özel modun seçildiğinden emin olmak ve verilerin nasıl kullanılacağını anlamak için gizlilik politikalarını okumak da hayati önem taşımaktadır.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin