Lüks Otomobillerde Bulunan Kritik Güvenlik Açıkları Artık Düzeltildi

Güvenlik açıkları, bilgisayar korsanlarının araçları çalıştırma ve durdurma, uzaktan izleme ve kilitleme ve kilit açma gibi görevleri gerçekleştirmesine potansiyel olarak izin verdi.

Etkilenen araçlar arasında Infiniti, Nissan, Acura, Mercedes-Benz, Genesis, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar, Kia, Honda ve Land Rover yer alıyor.

Araştırma ekibi ayrıca teknoloji markaları Reviver, Spireon ve yayın hizmeti sağlayıcısı SiriusXM tarafından sağlanan hizmetlerde kusurlar keşfetti.
Blockchain teknoloji şirketi Yuga Labs’ta personel güvenlik mühendisi olan Sam Curry ve diğer siber güvenlik araştırmacıları bir tatil sırasında bu kusurları ortaya çıkardılar. aynı işlevsellik.”
Curry, bir saldırganın araç telematik sistemlerinin kullandığı API uç noktalarında güvenlik açıkları bulması durumunda çeşitli görevleri uzaktan gerçekleştirebileceğini söylüyor.
Curry, Information Security Media Group’a “Otomobil üreticilerinin bu tür sorunları çözmek ve bu tür saldırıları ciddiye almak için güvenlik araştırmacılarıyla birlikte çalışmaya devam etmelerini umuyorum” dedi.

Tam Hesap Devralma

Curry, BMW varlıklarının analizi sırasında grubun otomotiv üreticisinin çalışanları ve yüklenicileri için özel bir tek oturum açma portalı belirlediğini söylüyor.
Curry, “Bu bizim için çok ilginçti” diyor. “Burada tanımlanan herhangi bir güvenlik açığı, potansiyel olarak bir saldırganın BMW’nin tüm varlıklarına bağlı herhangi bir hesabı tehlikeye atmasına izin verebilir.”
Sunucudaki bir kaynağa erişmeye yardımcı olan bir HTTP isteği göndererek ana bilgisayardaki API uç noktalarını açığa çıkaran bir güvenlik açığı buldular. Araştırmacılar, HTTP yanıtının, BMW Group’un bir parola yönetim sistemi olan xpita ana bilgisayarındaki tüm kullanılabilir REST uç noktalarını içerdiğini buldu.
Temsili durum aktarımı veya REST, genellikle internet üzerinden fiziksel olarak ayrı bileşenler arasında tekdüze bir arabirimi tanımlayan bir yazılım mimarisi stilidir.

Curry, “Uç noktaları sıralamaya ve hangi işlevlerin kullanılabilir olduğunu görmek için sahte HTTP istekleri göndermeye başladık. Hemen bulduğumuz bir şey, kullanıcı alanı API uç noktasında yıldız işareti sorguları göndererek tüm BMW kullanıcı hesaplarını sorgulayabildiğimizdi” diyor. “Bu, “sam*” gibi bir şey girmemize ve gerçek kullanıcı adını tahmin etmek zorunda kalmadan “sam.curry” adlı bir kullanıcının kullanıcı bilgilerini almamıza olanak sağladı.”
Curry, bu güvenlik açığını ortaya çıkardıktan sonra diğer erişilebilir API uç noktalarını test etmeye devam ettiklerini ve /rest/api/chains/accounts/:user_id/totp uç nokta bir kelime içeriyordu – totpBu uç noktaya, “TOTP uç noktasıyla eşleştirilen joker karakter sorgusundan” elde ettikleri SSO kullanıcı kimliğini kullanan ayrı bir HTTP isteğinde, rastgele 7 basamaklı bir sayı döndürdü.

Bu HTTP isteği, kullanıcının hesabı için bir TOTP oluşturdu ve “şifremi unuttum” işleviyle çalıştı. Curry, kullanıcının iki faktörlü kimlik doğrulama cihazından (e-posta veya telefon) TOTP kodunu alabildiğini ve hesabın tam kontrolünü ele geçirebildiklerini söylüyor.

Curry, “Bu noktada, herhangi bir BMW veya Rolls Royce çalışan hesabını tamamen devralmak ve bu çalışanlar tarafından kullanılan araçlara erişmek mümkündü” diyor.
Araştırmacılar, bu güvenlik açığının etkisini göstermek için BMW bayi portalını açtılar ve kendi hesaplarını kullanarak esas olarak BMW ve Rolls Royce bayilerinde çalışan satış görevlileri tarafından kullanılan bayi portalına eriştiler.
Oturum açtıktan sonra, TOTP kullanarak devraldıkları hesabın aslında gerçek bir bayiliğe bağlı olduğunu gözlemlediler; burada araştırmacılar, “belirli bir VIN numarasını sorgulama ve satışları alma yeteneği” de dahil olmak üzere bayilerin erişebildiği tüm işlevlere erişebildiler. araç belgeleri.”
Erişim sayesinde araştırmacılar, BMW ve Rolls Royce müşteri hesapları ve müşteri araçlarına karşı çeşitli işlevler gerçekleştirebileceklerini söylüyorlar.

Araştırmacılar, bu noktada testleri durdurduklarını ve güvenlik açıklarını otomobil şirketlerine bildirdiklerini söylüyor. Bu güvenlik açıkları o zamandan beri giderildi.

Bulunan Diğer Güvenlik Açıkları

Araştırmacılar, Kia, Honda, Infiniti, Nissan ve Acura gibi otomobil markalarında daha fazla güvenlik açığı ortaya çıkardı. Yalnızca VIN numarasını kullanarak uzaktan kilitleme, kilidi açma, motoru çalıştırma, motoru durdurma, hassas yer tespiti, flaşör farları ve korna çalmayı başardılar.
Ayrıca VIN numarası aracılığıyla adı, telefon numarasını, e-posta adresini ve fiziksel adresi uzaktan ele geçirip kurtarabildiler. Curry ayrıca, kullanıcıların araçlarını uzaktan yönetmelerini ve araç sahipliğini değiştirmelerini engelleme yeteneği kazandıklarını söylüyor.
Kia araçları için, 360 derece görüş kamerasına uzaktan erişebildiler ve arabadan canlı görüntüleri görüntüleyebildiler.
Araştırmacılar, Mercedes-Benz araçları için, şirket çapında bir dahili sohbet aracı, hemen hemen her kanala katılma yeteneği, AWS örneklerini yönetmek için dahili bulut dağıtım hizmetleri, dahili araçla ilgili API’ler, birden fazla sistemde uzaktan kod yürütme ve çalışan ve müşteri PII ifşasına ve hesap erişimine yol açan bellek sızıntıları.
Araştırmacılar, Hyundai ve Genesis arabalarında, yalnızca kurbanın e-posta adresini kullanarak tamamen uzaktan kilitleme, kilidi açma, motoru çalıştırma, motoru durdurma, hassas yer tespiti, flaşör farları ve korna çalmayı başardılar.
Ayrıca hesapların kontrolünü de ele geçirebildiler; kurbanların adını, telefon numarasını, e-posta adresini ve fiziksel adresini almak; ve kullanıcıların araçlarını uzaktan yönetmelerini ve araç sahipliğini değiştirmelerini engelleyin.
Curry, “Tüketicilere, otomotiv hesapları için güçlü bir parola kullanmalarını ve kullanılmış araçlarının önceki sahiplerinin artık araçlarının uzak verilerine erişemediğini doğrulamalarını öneririm.”