Bu API güvenlik açıkları, araçları bilgi hırsızlığına, hesapların ele geçirilmesine, uzaktan kod yürütmeye (RCE) ve hatta motorları çalıştırma ve durdurma gibi fiziksel komutların ele geçirilmesine maruz bıraktı.
16 farklı üreticiye ait milyonlarca araç, arabaların kilidini açmak, çalıştırmak ve takip etmek için kötüye kullanılabilecek ve aynı zamanda araç sahiplerinin mahremiyetini etkileyebilecek API güvenlik açıklarını tamamen ortaya çıkardı.
Bu güvenlik açıkları, araştırmacılarla birlikte otomotiv endüstrisindeki güvenlik boşlukları hakkında derinlemesine araştırma yapan güvenlik araştırmacısı Sam Curry tarafından bulundu. Neden Rivera, Brett Buerhaus, Maik Robert, Ian Carroll, Justin Rhinehartve Shubham Şah.
Ayrıntılı bir raporda Curry, aşağıdakiler de dahil olmak üzere birçok otomotiv devine güç sağlayan otomotiv API’lerinde bulunan güvenlik açıklarını ortaya koydu:
- Haydi
- BMW
- ford
- honda
- Acura
- Jaguar
- Nissan
- Porsche
- toyota
- ferrari
- Spireon
- Canlandırmak
- Yaratılış
- hyundai
- sonsuzluk
- SiriusXM
- Land Rover
- Rolls Royce
- mercedes-benz
Araştırmacılara göre, hesapların ele geçirilmesi için bilgi hırsızlığı, uzaktan kod yürütme (RCE) ve hatta arabaların motorlarını çalıştırma ve durdurma gibi fiziksel komutları ele geçirme, güvenlik açıkları ilgili üreticiler tarafından sorumlu ifşanın ardından düzeltilmeden önce bilgisayar korsanlarının erişebileceği gerçek olasılıklardı. .
Spireon’un telematik çözümü, şirketin platformuna tam yönetici erişimi sağlamak için istismar edilebilecek en ciddi sorunlarla karşı karşıya kaldı ve bir tehdit aktörünün yaklaşık 15,5 milyon araca rastgele komutlar vermesini ve cihaz yazılımını güncellemesini sağladı.
Alakalı haberler
- Bilgisayar Korsanları Uzaktan Honda Arabalarının Kilidini Nasıl Açabilir/Başlatabilir?
- Honda ve Nissan Arabaları VIN Numarasını Bilerek Hacklendi
- Tesla Arabalarının Kilidini Açmak, Bluetooth Kusurlu Akıllı Cihazlar
- Intel çip kusuru arabaları, tıbbi cihazları ve IoT cihazlarını savunmasız bıraktı
- Sürücüsüz arabalar sanal nesneler göstererek kandırılabilir
Curry, “Erişimimizi kullanarak tüm kullanıcı hesaplarına, cihazlara (araçlara) ve filolara erişebildik” dedi. “Web sitesindeki filolardan bazıları ambulansları, polis kruvazörlerini ve büyük kamyonları içeriyordu. Spireon erişimini kullanarak, tamamen rastgele komutlar gönderebilir ve cihaz yapılandırmalarını güncelleyebiliriz.”
Araştırmacıların bulgularında bildirilen başka bir güvenlik açığı, BMW ve Rolls Royce’un web portalları için tek seferlik parolalar oluşturmak için kötü yapılandırılmış bir API uç noktasının, saldırganların herhangi bir çalışanın ve yüklenicinin hesaplarını ele geçirmesine ve böylece hassas müşteri bilgilerine erişmesine izin verebileceğini gösterdi. ve araç bilgileri.
Ferrari’nin web uygulamalarında zayıf bir şekilde uygulanmış bir SSO işlevi, araştırmacıların çeşitli dahili uygulamaların JavaScript koduna sınırsız erişim elde etmelerini sağladı. Kaynak kodu, potansiyel saldırganların kullanıcı oluşturmasına ve değiştirmesine veya (daha da kötüsü) kendilerine süper kullanıcı izinleri vermesine izin veren dahili API anahtarları ve kullanım kalıpları içeriyordu. Güvenlik açıkları, saldırganların Ferrari arabalarının mülkiyetini almasına etkili bir şekilde izin verdi.
Mercedes-Benz çoklu oturum açma (SSO) sistemindeki bir yanlış yapılandırma, araştırmacıların özel GitHub depoları ve dahili iletişim araçları da dahil olmak üzere çeşitli dahili şirket varlıklarına erişmesini sağladı.
Saldırganlar, çalışan kılığına girerek hassas bilgilere erişmelerine, müşteri araçlarına komutlar göndermelerine, RCE saldırıları gerçekleştirmelerine ve ayrıcalıklarını Mercedes-Benz altyapısı genelinde yükseltmek için sosyal mühendisliği kullanmalarına izin verebilir.
Curry bir blog gönderisinde, “Bir araba sahibi olduğunuz, ardından aynı metodolojiyi başka bir araba şirketine kopyaladığınız ve aynı güvenlik açığıyla girdiğiniz bazı araba şirketleri vardı,” diye yazdı.
Araştırmacılar, tonlarca açıktaki aktüatör (araç bileşen kontrolü), hata ayıklama uç noktaları ve araçları yönetme, satın alma sözleşmeleri ve telematik cihazlar için idari işlevler dahil olmak üzere birkaç şirketin platformlarında bazı kusurların bulunduğunu keşfetti.
Bu, yalnızca, bu araba şirketlerinin bu cihazları kurmak için ne kadar acele etseler de, çevrimiçi ekosistemlerini koruma görevini tamamen gözden kaçırdıklarını gösteriyor.
Daha Fazla API Haberi
- En Yaygın API Güvenlik Açıkları
- Safari tarayıcısının API hatası veri hırsızlığına izin verdi
- Payment API güvenlik açıkları, işlem anahtarlarını açığa çıkardı
- 3Commas API Veritabanı Anonim Hacker Tarafından Sızdırıldı