Büyük hack otomatik
Güvenlik araştırmacıları, büyük otomobil üreticilerinin, telematik (araç izleme ve kayıt teknolojisi) satıcılarının ve filo operatörlerinin web uygulamaları ve API’lerinin güvenlik açıklarıyla dolu olduğu konusunda uyarıyor.
Ayrıntılı bir raporda, güvenlik araştırmacısı sam köri bilgi hırsızlığından hesap devralmaya, uzaktan kod yürütmeye (RCE) ve hatta arabaların motorlarını çalıştırma ve durdurma gibi fiziksel komutları ele geçirmeye kadar uzanan güvenlik açıklarını ortaya koydu. Bulgular, otomotiv endüstrisinin dijital ve çevrimiçi özellikleri kullanıma sunma telaşı içinde çevrimiçi ekosistemini güvence altına almak konusunda baştan savma bir iş çıkardığına dair endişe verici bir gösterge.
Web portallarından araç kilitlerine
Yaklaşık altı ay önce, Curry ve birkaç arkadaşı, Maryland Üniversitesi’ndeki bir izci filosunun mobil uygulamasında, kampüsteki tüm scooterların kornalarının ve farlarının yanmasına ve 15 dakika boyunca açık kalmasına neden olan bir güvenlik açığına rastladı. . Curry daha sonra araştırmacılarla birlikte daha fazla araştırma yapmakla ilgilenmeye başladı. Neden Rivera, Brett Buerhaus, Maik Robert, Ian Carroll, Justin Rhinehartve Shubham Şah.
Curry, “Kaç ‘korna çalabileceğimizi’ görmek için farklı araba şirketlerini hacklemek için tonlarca zaman harcamanın harika olacağını düşündük, ancak bu hızla telematik altyapısını ve telematik API’lerinin dışındaki şeyleri hacklemeye dönüştü” dedi. günlük yudum.
Curry’nin blogunda ayrıntılı olarak açıklanan araştırmacıların bulguları, farklı sistemlerde endişe verici sayıda kritik güvenlik açığının altını çiziyor. Örneğin, BMW ve Rolls Royce’un web portalları için tek seferlik şifreler oluşturmak için kötü yapılandırılmış bir API uç noktası, potansiyel olarak saldırganların herhangi bir çalışanın ve yüklenicinin hesaplarını ele geçirmesine ve böylece hassas müşteri ve araç bilgilerine erişmesine olanak sağladı.
Mercedes-Benz çoklu oturum açma (SSO) sistemindeki bir yanlış yapılandırma, araştırmacıların özel GitHub depoları ve dahili iletişim araçları da dahil olmak üzere çeşitli dahili şirket varlıklarına erişmesini sağladı. Saldırganlar, çalışan kılığına girerek hassas bilgilere erişmelerine, müşteri araçlarına komutlar göndermelerine, RCE saldırıları gerçekleştirmelerine ve ayrıcalıklarını Mercedes-Benz altyapısı genelinde yükseltmek için sosyal mühendisliği kullanmalarına izin verebilir.
KAÇIRMAYIN The Daily Swig’in Burp Suite swag’ını kazanma şansına sahip olması hakkında ne düşündüğünüzü bize bildirin.
Başka bir yerde, Kia’nın bayiler için web portalındaki bir güvenlik açığı, saldırganların sahte bir oturum oluşturmasına, bir hesap kaydetmesine, bunu herhangi bir rastgele araç VIN numarasıyla ilişkilendirmesine ve kilitleme, kilit açma ve uzaktan başlatma/durdurma mekanizmalarına erişim elde etmesine izin vermiş olabilir. araç konumları ve araç kamera beslemeleri.
Ferrari’nin web uygulamalarında zayıf bir şekilde uygulanmış bir SSO işlevi, araştırmacıların çeşitli dahili uygulamaların JavaScript koduna sınırsız erişim elde etmelerini sağladı. Kaynak kodu, potansiyel saldırganların kullanıcılar oluşturmasına ve değiştirmesine veya (daha da kötüsü) kendilerine süper kullanıcı izinleri vermesine izin veren dahili API anahtarları ve kullanım kalıpları içeriyordu. Güvenlik açıkları, saldırganların Ferrari arabalarının mülkiyetini almasına etkili bir şekilde izin verdi.
Diğer güvenlik açıkları, 2012’den sonra üretilen Hyundai ve Genesis araçlarının kilitleri, motoru, kornası, farları ve bagajı üzerinde tam uzaktan kontrol sağladı. Araştırmacılar ayrıca Honda, Nissan, Infiniti ve Acura araçlarına tam uzaktan erişim elde edebildiler.
Telematik portalında tehlikeli hata
Curry ve meslektaşları, toplu olarak 15 milyon araca hizmet veren birkaç araba telematik ve filo yönetimi satıcısının ana şirketi olan Spireon’un yönetici portalında bir SQL enjeksiyon güvenlik açığı buldu. Curry, güvenlik açığının şirketin platformuna yönetici erişimi sağlamalarına izin verdiği için bunu “en endişe verici bulgu” olarak nitelendirdi.
“Erişimimizi kullanarak tüm kullanıcı hesaplarına, cihazlara (araçlara) ve filolara erişebildik” dedi. “Web sitesindeki filolardan bazıları ambulansları, polis kruvazörlerini ve büyük kamyonları içeriyordu. Spireon erişimini kullanarak, tamamen rastgele komutlar gönderebilir ve cihaz yapılandırmalarını güncelleyebiliriz.”
Araştırmacılar, marş motorlarını kilitleyebildiklerini, araçların kilidini açabildiklerini, araçları takip edebildiklerini ve polis arabaları ve ambulanslar gibi araçlara hileli sevk adresleri gönderebildiklerini keşfettiler. Araştırmacılar ayrıca, güvenlik eksikliklerinin Spireon cihazlarında arka kapılar kurulmasına ve keyfi komutlar çalıştırılmasına olanak verdiğinden şüpheleniyorlar.
yarı pişmiş
Curry, “Bir araba sahibi olduğunuz, ardından aynı metodolojiyi başka bir araba şirketine kopyaladığınız ve aynı savunmasızlıkla girdiğiniz bazı araba şirketleri vardı” dedi.
Araştırmacılar, birçok şirketin platformlarında tonlarca açıktaki aktüatör (araç bileşen kontrolü), hata ayıklama uç noktaları ve araçları yönetme, satın alma sözleşmeleri ve telematik cihazlar için idari işlevsellik dahil olmak üzere bazı kusurların bulunduğunu keşfetti.
Curry, “Görünüşe göre, araba şirketleri bu cihazları kurmak için gerçekten acele etti” dedi. “Şu anda, bu kurulumlar çoğunlukla sınırlı işlevselliğe sahip, bu nedenle yalnızca aracı takip etme, kilidini açma ve çalıştırma gibi şeyler yapabilirsiniz, ancak Tesla ve Rivian gibi şirketlerin gerçekten uzaktan kontrol edilebilen daha bağlantılı araçlar oluşturmasıyla, piyasa baskısının artmasından endişe ediyorum. bu şirketleri saldırıya açık, yarım yamalak çözümler oluşturmaya zorlayacak.”
İLİŞKİLİ Schneider Electric, EVlink elektrikli araç şarj istasyonlarındaki kritik güvenlik açıklarını düzeltiyor