Различные уязвимости у многих автопроизводителей позволяют хакерам в том числе управлять машинами эк

[Overrated]

Современные автомобили содержат всё больше различной электроники и всё больше на неё опираются. И это может быть проблемой. Согласно данным исследователя безопасности Сэма Карри (Sam Curry), многочисленные уязвимости электронных системах новых автомобилей уже сейчас могут позволить злоумышленникам удалённо отслеживать и частично даже контролировать такие авто. Хуже того, речь идёт в том числе о машинах различных экстренных служб.

Слабым звеном в данном случае является сайт Spireon Systems. Именно эта компания контролирует данные GPU и прочую телематику для более чем 15 млн устройств, большую часть из которых составляют автомобили, в том числе полицейские авто и машины служб спасения в США.
Проблема в том, что сайт Spireon Systems является устаревшим и лишённым современных методов защиты. Уязвимости могут позволить злоумышленникам не только отслеживать авто, но также разблокировать их, запускать двигатели, отправлять навигационные команды и так далее.
Кроме того, исследователи безопасности смогли получить доступ к корпоративным системам BMW, Mercedes Benz и Rolls Royce. В данном случае речь идёт о других уязвимостях, они не позволяют получить контроль над машиной, но можно получить доступ к конфиденциальным данным. Дыры в безопасности на сайтах Ferrari также позволяют получить доступ к административным привилегиям и удалить всю информацию о клиентах.

Ещё одна особенность — цифровые номерные знаки. Оказалось, что калифорнийские уязвимы для хакеров из-за проблем с безопасностью компании Reviver, которая как раз занималась такими знаками в этом штате.
Карри также поделился данными о том, у каких производителей какие проблемы с безопасностью имеют место на данный момент.

Kia, Honda, Infiniti, Nissan, Acura:

• Полностью удаленная блокировка, разблокировка, запуск двигателя, остановка двигателя, точное определение местоположения, вспышка фар и подача сигнала транспортным средствам с использованием только VIN-номера.
• Полностью удаленный захват учетной записи и раскрытие PII через номер VIN (имя, номер телефона, адрес электронной почты, физический адрес)
• Возможность заблокировать пользователей от удаленного управления своим транспортным средством, сменить владельца
• Для Kia можно удаленно получить доступ к 360-градусной камере.

Mercedes-Benz:

• Доступ к сотням критически важных внутренних приложений через неправильно настроенный SSO, включая, несколько экземпляров Github за SSO, внутренний чат для всей компании, возможность присоединиться практически к любому каналу, внутренние сервисы облачного развертывания для управления экземплярами AWS, внутренние API, связанные с транспортным средством
• Удаленное выполнение кода на нескольких системах
• Утечки памяти, приводящие к раскрытию личных данных сотрудников/клиентов, доступ к учетной записи

Hyundai, Genesis:

• Полностью удаленная блокировка, разблокировка, запуск двигателя, остановка двигателя, точное определение местоположения, мигание фарами и сигнализация транспортных средств, используя только адрес электронной почты жертвы.
• Полностью удаленный захват учетной записи и раскрытие PII через адрес электронной почты жертвы (имя, номер телефона, адрес электронной почты, физический адрес)
• Возможность заблокировать пользователей от удаленного управления своим транспортным средством, сменить владельца

BMW, Rolls Royce:

• Основные уязвимости SSO в масштабах всей компании, которые позволили нам получить доступ к любому приложению сотрудника как любому сотруднику, позволили нам получить доступ к внутренним дилерским порталам, где вы можете запросить любой VIN-номер, чтобы получить документы о продаже BMW. Также можно получить доступ к любому приложению, заблокированному с помощью системы единого входа, от имени любого сотрудника, включая приложения, используемые удаленными работниками и дилерскими центрами.

Ferrari:

• Полный захват учетной записи с нулевым взаимодействием для любой учетной записи клиента Ferrari
• IDOR для доступа ко всем записям клиентов Ferrari
• Отсутствие контроля доступа, позволяющее злоумышленнику создавать, изменять, удалять учетные записи администраторов «бэк-офиса» сотрудников и все учетные записи пользователей с возможностью изменять веб-страницы, принадлежащие Ferrari, через систему CMS.
• Возможность добавлять HTTP-маршруты на api.ferrari.com (rest-connectors) и просматривать все существующие rest-connectors и связанные с ними секреты (заголовки авторизации)

Ford:

• Полное раскрытие информации о памяти серийного автомобиля Telematics API раскрывает PII клиента и токены доступа для отслеживания и выполнения команд на транспортных средствах
• Раскрывает учетные данные конфигурации, используемые для внутренних служб, связанных с Телематикой.
• Возможность пройти аутентификацию в учетной записи клиента и получить доступ ко всей личной информации и выполнять действия в отношении транспортных средств.
• Захват учетной записи клиента путем неправильного анализа URL позволяет злоумышленнику получить полный доступ к учетной записи жертвы, включая портал автомобиля.

Toyota:

• IDOR на Toyota Financial, который раскрывает имя, номер телефона, адрес электронной почты и статус кредита любых финансовых клиентов Toyota.

И это не все компании.
Команда Карри заранее сообщила всем компаниям о проблемах, и некоторые уже их решили.

 

[шмаровоз1337]

заебала эта жизнь с гнилыми людишками которые вечно сука что-то взламывают, сливают, воруют и тд. просто заебало уже

 

[BlackBash]

Надеюсь поправят, а то стремно на таких теперь ездить

 

[LehaMirnbiy]

Как хорошо на уазе буханке)) Её и в реал тайме физичеси не каждый чужой заведет)))

 

[Torsten]

заебала эта жизнь с гнилыми людишками которые вечно сука что-то взламывают, сливают, воруют и тд. просто заебало уже

Поддерживаю

 

[GenaReshala]

Терминатор 3 уже на подходе)))

 

[Aleksich]

Гранте произведённой по технологиям прошлого века, это не грозит.

 

[Xanthias]

Гранте произведённой по технологиям прошлого века, это не грозит.

Это грозит 1% автомобилей Xd