Neredeyse yirmi araba üreticisi ve hizmeti, bilgisayar korsanlarının arabaların kilidini açmaktan, arabaları çalıştırmaktan ve takip etmekten müşterilerin kişisel bilgilerini ifşa etmeye kadar çeşitli kötü niyetli faaliyetler gerçekleştirmesine izin verebilecek API güvenlik açıkları içeriyordu.
Güvenlik açıkları, BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota ve Genesis gibi tanınmış markaları etkiledi.
Güvenlik açıkları, araç teknolojisi markaları Spireon ve Reviver’ı ve akış hizmeti SiriusXM’yi de etkiledi.
Bu API kusurlarının keşfi, daha önce Kasım 2022’de Hyundai, Genesis, Honda, Acura, Nissan, Infinity ve SiriusXM güvenlik sorunlarını açıklayan Sam Curry liderliğindeki bir araştırma ekibinden geliyor.
Curry’nin önceki açıklaması, bilgisayar korsanlarının bu kusurları arabaların kilidini açmak ve çalıştırmak için nasıl kullanabileceklerini açıklarken, bu sorunların bildirilmesinden bu yana 90 günlük bir güvenlik açığı açıklama dönemi geçtiğine göre, ekip API güvenlik açıkları hakkında daha ayrıntılı bir blog yazısı yayınladı.
Etkilenen sağlayıcılar, bu raporda sunulan tüm sorunları düzelttiklerinden şu anda istismar edilemezler.
Dahili portallara erişim
En ciddi API kusurları, saldırganların dahili sistemlere erişmesini sağlayan şirket çapında SSO (tek oturum açma) güvenlik açıklarından etkilenen BMW ve Mercedes-Benz’de bulundu.
Analistler, Mercedes-Benz için birden fazla özel GitHub örneğine, Mattermost’taki dahili sohbet kanallarına, sunuculara, Jenkins ve AWS örneklerine, müşteri arabalarına bağlanan XENTRY sistemlerine ve daha fazlasına erişebildi.
Kaynak: Sam Curry
Araştırmacılar, BMW için dahili bayi portallarına erişebiliyor, herhangi bir arabanın VIN’lerini sorgulayabiliyor ve hassas araç sahibi ayrıntılarını içeren satış belgelerini alabiliyordu.
Ek olarak, herhangi bir çalışan veya bayi olarak oturum açmak ve dahili kullanım için ayrılmış uygulamalara erişmek için SSO kusurlarından yararlanabilirler.
Kaynak: Sam Curry
Sahip ayrıntılarını ifşa etme
Diğer API kusurlarından yararlanmak, araştırmacıların KIA, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Roll Royce, Ferrari, Ford, Porsche ve Toyota arabalarının sahipleri için PII’ye (kişisel olarak tanımlanabilir bilgiler) erişmesine olanak sağladı. .
Aşırı pahalı arabalarda, sahip bilgilerinin ifşa edilmesi özellikle tehlikelidir, çünkü bazı durumlarda veriler satış bilgilerini, fiziksel konumu ve müşteri adreslerini içerir.
Ferrari, CMS’sinde yetersiz uygulanan SSO’dan muzdaripti, arka uç API rotalarını açığa çıkardı ve kimlik bilgilerinin JavaScript parçacıklarından çıkarılmasını mümkün kıldı.
Bir saldırgan, herhangi bir Ferrari müşteri hesabına erişmek, bunları değiştirmek veya silmek, araç profillerini yönetmek veya kendilerini araç sahibi olarak ayarlamak için bu açıklardan yararlanabilir.
Kaynak: Sam Curry
Araç GPS’ini takip etme
Bu güvenlik açıkları, bilgisayar korsanlarının arabaları gerçek zamanlı olarak izlemesine olanak tanıyarak potansiyel fiziksel riskler ortaya çıkarabilir ve milyonlarca araç sahibinin mahremiyetini etkileyebilirdi.
Saldırganların araç konumlarını almasına ve komutlar göndermesine olanak tanıyan telematik sistemlerindeki kusurlarla Porsche, etkilenen markalardan biriydi.
GPS izleme çözümü Spireon ayrıca, hizmetlerini kullanan 15,5 milyon aracı etkileyerek ve hatta uzaktan yönetim paneline tam yönetim erişimi sağlayarak, saldırganların arabaların kilidini açmasına, motoru çalıştırmasına veya marş motorunu devre dışı bırakmasına olanak tanıyarak araba konumunun ifşa edilmesine karşı savunmasızdı.
Kaynak: Sam Curry
Etkilenen üçüncü varlık, herhangi birinin GPS verilerine ve kullanıcı kayıtlarına erişmesini, plaka mesajlarını değiştirme yeteneğini ve daha fazlasını sağlayabilecek yönetici paneline kimliği doğrulanmamış, uzaktan erişime karşı savunmasız olan bir dijital plaka üreticisi olan Reviver’dır.
Curry, bu kusurların, Reviver panelinde bir aracı “ÇALINTI” olarak işaretlemelerine nasıl izin verdiğini gösteriyor; bu, polisi olay hakkında otomatik olarak bilgilendirerek sahibini/sürücüyü gereksiz yere riske atıyor.
Kaynak: Sam Curry
Maruz kalmanın en aza indirilmesi
Araç sahipleri, araçlarda veya mobil refakatçi uygulamalarında depolanan kişisel bilgi miktarını sınırlayarak kendilerini bu tür güvenlik açıklarından koruyabilir.
Araç içi telematiği mümkün olan en özel moda ayarlamak ve verilerin nasıl kullanıldığını anlamak için gizlilik politikalarını okumak da önemlidir.
sam köri araç sahiplerinin araba alırken uyması gereken şu tavsiyeyi de BleepingComputer ile paylaştı.
Curry yaptığı açıklamada, “Kullanılmış bir araba satın alırken, önceki sahibinin hesabının kaldırıldığından emin olun. Güçlü şifreler kullanın ve mümkünse aracınıza bağlanan uygulamalar ve hizmetler için 2FA (iki faktörlü kimlik doğrulama) kurun.” BleepingComputer.
1/4 Güncellemesi – Bir Spireon sözcüsü, BleepingComputer’a aşağıdaki yorumu gönderdi:
Siber güvenlik uzmanlarımız, sözde sistem açıklarını tartışmak ve değerlendirmek için güvenlik araştırmacısı ile bir araya geldi ve gereken ölçüde düzeltici önlemleri derhal uyguladı.
Ayrıca, satış sonrası telematik çözümlerinin lider sağlayıcısı olarak müşterilerimize olan sürekli taahhüdümüzün bir parçası olarak, ürün portföyümüzde güvenliği daha da güçlendirmek için proaktif adımlar attık.
Spireon, tüm güvenlik konularını ciddiye alır ve ürünlerini ve hizmetlerini hem bilinen hem de yeni potansiyel güvenlik risklerine karşı izlemek ve taramak için kapsamlı bir endüstri lideri araç seti kullanır.