2012’den sonra üretilen araçlar, web uygulaması istismarına karşı savunmasızdı
Araştırmacılar, Hyundai ve Genesis araçlarında, bir arabayı uzaktan kontrol etmek için kullanılabilecek kritik bir sorunu ortaya çıkardılar.
Yuga Labs personel güvenlik mühendisi Sam Curry, bulguları şu adreste bildirdi: bir Twitter dizisi Bu hafta (29 Kasım), hatanın ekibin “2012’den sonra üretilen araçların kilitlerini, motorunu, kornasını, farlarını ve bagajını uzaktan kontrol etmesine” izin verdiğini belirtti.
Lakap altında bir böcek ödül avcısı _hayaletler_ Curry ve diğer Yuga Labs araştırmacıları tarafından yönetilen proje için sahte bir araba hırsızı (kendi Hyundai aracıyla) olarak hareket etti.
En son web güvenlik açığı haberlerinin devamını okuyun
Curry, araçlarla ilgili son siber güvenlik araştırmalarının fiziksel anahtarlara yönelik kriptografik saldırılara odaklanma eğiliminde olduğunu, ancak yeni istismarlar bir yana, modern iletişim protokollerini ve kontrollerini destekleyen web siteleri ve uygulamaların gözden kaçmış olabileceğini belirtti.
Örneğin, Hyundai ve Genesis mobil cihaz uygulamaları, kimliği doğrulanmış kullanıcıların, güvenliği ihlal edildiğinde ciddi bir sorun olabilecek araçlarını çalıştırma veya durdurma ve kilitleme veya kilidini açma gibi işlevleri yönetmesine olanak tanır.
Araştırmacılar, Burp Suite’i kullanarak uygulama trafiğini yönlendirdi ve bir giriş noktası arayarak API çağrılarını izledi.
Curry, bir uygulamanın e-posta/şifre kimlik bilgisi kontrolü sırasında JSON Web Simgeleri (JWT’ler) oluşturulduğunda bir “uçuş öncesi” kontrol varmış gibi göründüğünü açıkladı.
Bununla birlikte, sunucu e-posta adresi onayı gerektirmediğinden, kayıt sırasında mevcut bir kurban e-posta adresinin sonuna bir CRLF karakteri eklemek ve JWT ve e-posta parametre kontrolünü atlayan bir hesap oluşturmak mümkündü.
Uygulamanın HTTP yanıtı, test sırasında kurbanın araç kimlik numarasını (VIN) verdi. Curry daha sonra hazırlanmış hesap ayrıntılarını içeren bir HTTP isteği gönderdi ve birkaç saniye sonra Specters arabasının kilidinin uzaktan açıldığını doğruladı.
sürücü koltuğunda
Kendi içinde, saldırı zinciri birçok istek gerektiriyordu. Bu nedenle araştırmacılar, bu adımları derleyen bir Python kavram kanıtı (PoC) betiği oluşturdu – ve komut dosyasının çalışırken bir videosubir saldırı başlatmak için gereken tek şey bir e-posta adresidir.
Ekibin gerçekleştirdiği eylemler şunları içeriyordu:
● Kurbanın aracının farlarının uzaktan yanıp sönmesi.
● Korna çalmak.
● Motorun çalıştırılması veya durdurulması.
● Aracın kilitlenmesi veya kilidinin açılması.
● Bir PIN’i değiştirme.
● Bagaj kilidinin açılması.
Ile konuşmak günlük yudumCurry, güvenlik açığının yaklaşık iki ay önce Hyundai’ye ifşa edildiğini söyledi. bir paketin parçası SiriusXM uzaktan yönetim yazılımıyla ilgili farklı otomobil üreticilerini etkileyen telematik sorunlarının sayısı.
Koordineli bir güvenlik açığı ifşa programının bir parçası olarak, güvenlik açığı halka açıklanmadan önce bir düzeltme yayınlandı.
Düşünce için yakıt
Curry, projenin “esas olarak eğlence amaçlı” olduğunu söylerken, araştırma hakkında yorumda bulunan Specters, şunları söyledi:
“Bu araştırmaya başladığımızın altını çizmek isterim çünkü hepimiz araçlar için yerleşik güvenliğin giderek daha iyi hale geldiğini ancak uygulama güvenliğinin büyük bir farkla geride kaldığını fark ettik. Bu değişikliği zorlamak istedik ve umarız öyle yapmışızdır.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Milyon dolarlık böcek ödülleri: Rekor kıran ödemelerdeki artış