Díry v aplikacích umožňovaly vzdálené odemykání, startování a ovládání aut bezmála 20 značek

Zranitelnosti v mobilních aplikacích vystavily automobily bezmála dvaceti značek vzdáleným útokům, při kterých je bylo možné odemknout, a dokonce i nastartovat. Objevitelé zatím nezveřejnili podrobnosti, ale podělili se o informace na Twitteru ve dvou samostatných vláknech (Hyundai a Genesis a SiriusXM). O kauze informuje Bleeping Computer.

Bezpečnostní analytici ze společnosti Yuga Labs odhalili možnosti útoku v aplikacích Hyundai a Genesis a v platformě chytrých vozidel SiriusXM používané ve vozech dalších výrobců (Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru a Toyota), které umožňovaly jejich „vzdálené odemykání, startování, vyhledávání, blikání a troubení“.

Díra v aplikaci Hyundai

Mobilní aplikace Hyundai a Genesis – MyHyundai a MyGenesis – umožňují ověřeným uživatelům startovat, zastavovat, zamykat a odemykat svá vozidla. Po zachycení provozu generovaného oběma aplikacemi jej výzkumníci analyzovali a byli schopni extrahovat volání API, které dále prozkoumali.

Zjistili, že ověření vlastníka probíhá na základě e-mailové adresy uživatele. Následně se ukázalo, že MyHyundai nevyžaduje při registraci potvrzení e-mailu. Vytvořili tedy nový účet s e-mailovou adresou, která měla na konci řídicí znak. Nakonec odeslali HTTP požadavek obsahující podvrženou adresu, čímž obešli kontrolu platnosti.

Aby si ověřili, že tento postup mohou použít k útoku na automobil, pokusili se odemknout vůz Hyundai použitý pro výzkum. Po několika sekundách se auto skutečně odemklo. Nakonec vytvořili skript, který k úspěšnému útoku na vozidlo této značky vyžadoval pouze zadání e-mailové adresy.

Tiskový mluvčí jihokorejské automobilky uvedl, že firma během několika dní od oznámení zavedla protiopatření, aby dále zvýšila bezpečnost a zabezpečení svých systémů. „Jakmile nás výzkumníci na údajnou zranitelnost upozornili, Hyundai na jejím prošetření pečlivě spolupracoval s konzultanty třetích stran.“ konstatoval mluvčí.

Zranitelnost v platformě SiriusXM

SiriusXM je mimo jiné poskytovatelem telematických služeb, které využívá více než 15 automobilek. Firma provozuje 12 milionů připojených automobilů, které využívají více než 50 služeb v rámci jednotné platformy. Tuto technologii používají k implementaci funkcí vzdálené správy mobilní aplikace automobilek Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru a Toyota.

Odborníci zkontrolovali síťový provoz aplikace Nissan a zjistili, že je možné odeslat podvržené HTTP požadavky pouze na základě znalosti identifikačního čísla vozidla (VIN). Odpověď na neoprávněný požadavek obsahovala jméno, telefonní číslo, adresu a údaje o vozidle.

Problém je, že číslo VIN lze u zaparkovaných automobilů snadno zjistit – obvykle je viditelné na štítku v místě, kde se palubní deska setkává s čelním sklem. Potenciální útočník se k němu může snadno dostat a následně ho zneužít k útoku – například k odemknutí a nastartování auta.

Bezpečnostní expert Sam Curry upřesnil, že každý automobil, využívající platformu SiriusXM vyrobený po roce 2015, lze na dálku sledovat, zamykat/odemykat, startovat/zhasínat, troubit nebo nechat blikat světlomety jen na základě znalosti jeho čísla VIN. Lze také odhalit jméno majitele, jeho telefonní číslo, adresu a fakturační údaje.

Diskuze (8) Další článek: Sledovali jsme živě: Northrop Grumman představil B-21 Raider, první americký bombardér po 34 letech

Témata článku: Bezpečnost, Twitter, Automobily, Mobilní aplikace, API, BMW, Subaru, Lexus, Infiniti, Toyota, Honda, Hyundai, Acura, Land Rover, Nissan, Jaguar, Aplikace, Sam Curry, Bleeping Computer, Accura, Adresa, Ovládání aut, Vina, Odemykání, Genesis