Zranitelnosti v mobilních aplikacích vystavily automobily bezmála dvaceti značek vzdáleným útokům, při kterých je bylo možné odemknout, a dokonce i nastartovat. Objevitelé zatím nezveřejnili podrobnosti, ale podělili se o informace na Twitteru ve dvou samostatných vláknech (Hyundai a Genesis a SiriusXM). O kauze informuje Bleeping Computer.
Bezpečnostní analytici ze společnosti Yuga Labs odhalili možnosti útoku v aplikacích Hyundai a Genesis a v platformě chytrých vozidel SiriusXM používané ve vozech dalších výrobců (Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru a Toyota), které umožňovaly jejich „vzdálené odemykání, startování, vyhledávání, blikání a troubení“.
Díra v aplikaci Hyundai
Mobilní aplikace Hyundai a Genesis – MyHyundai a MyGenesis – umožňují ověřeným uživatelům startovat, zastavovat, zamykat a odemykat svá vozidla. Po zachycení provozu generovaného oběma aplikacemi jej výzkumníci analyzovali a byli schopni extrahovat volání API, které dále prozkoumali.
Zjistili, že ověření vlastníka probíhá na základě e-mailové adresy uživatele. Následně se ukázalo, že MyHyundai nevyžaduje při registraci potvrzení e-mailu. Vytvořili tedy nový účet s e-mailovou adresou, která měla na konci řídicí znak. Nakonec odeslali HTTP požadavek obsahující podvrženou adresu, čímž obešli kontrolu platnosti.
Aby si ověřili, že tento postup mohou použít k útoku na automobil, pokusili se odemknout vůz Hyundai použitý pro výzkum. Po několika sekundách se auto skutečně odemklo. Nakonec vytvořili skript, který k úspěšnému útoku na vozidlo této značky vyžadoval pouze zadání e-mailové adresy.
Tiskový mluvčí jihokorejské automobilky uvedl, že firma během několika dní od oznámení zavedla protiopatření, aby dále zvýšila bezpečnost a zabezpečení svých systémů. „Jakmile nás výzkumníci na údajnou zranitelnost upozornili, Hyundai na jejím prošetření pečlivě spolupracoval s konzultanty třetích stran.“ konstatoval mluvčí.
Zranitelnost v platformě SiriusXM
SiriusXM je mimo jiné poskytovatelem telematických služeb, které využívá více než 15 automobilek. Firma provozuje 12 milionů připojených automobilů, které využívají více než 50 služeb v rámci jednotné platformy. Tuto technologii používají k implementaci funkcí vzdálené správy mobilní aplikace automobilek Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru a Toyota.
Odborníci zkontrolovali síťový provoz aplikace Nissan a zjistili, že je možné odeslat podvržené HTTP požadavky pouze na základě znalosti identifikačního čísla vozidla (VIN). Odpověď na neoprávněný požadavek obsahovala jméno, telefonní číslo, adresu a údaje o vozidle.
Problém je, že číslo VIN lze u zaparkovaných automobilů snadno zjistit – obvykle je viditelné na štítku v místě, kde se palubní deska setkává s čelním sklem. Potenciální útočník se k němu může snadno dostat a následně ho zneužít k útoku – například k odemknutí a nastartování auta.
Bezpečnostní expert Sam Curry upřesnil, že každý automobil, využívající platformu SiriusXM vyrobený po roce 2015, lze na dálku sledovat, zamykat/odemykat, startovat/zhasínat, troubit nebo nechat blikat světlomety jen na základě znalosti jeho čísla VIN. Lze také odhalit jméno majitele, jeho telefonní číslo, adresu a fakturační údaje.
