Исследователи безопасности Yuga Labs обнаружили серьезные уязвимости в мобильных приложениях Hyundai и платформе интеллектуальных автомобилей, используемой несколькими автопроизводителями, которые позволяли хакерам удаленно управлять некоторыми функциями.
Исследователи подробно описали свои подвиги в двух недавних Твиттер потоки.
Первая проблема была связана с приложениями MyHyundai и MyGenesis, которые позволяют аутентифицированным пользователям запускать, останавливать, блокировать или разблокировать свои автомобили.
Перехватывая трафик, генерируемый двумя приложениями, Yuga Labs может извлекать вызовы API для анализа.
Они обнаружили, что проверка пользователей приложений выполнялась с использованием адреса электронной почты, включенного в тело JSON запросов POST.
Они также обнаружили, что приложение MyHyundai не требует подтверждения по электронной почте при регистрации.
Исследователи создали новую учетную запись, используя адрес электронной почты своей цели с добавленным в конце контрольным символом.
Затем они отправили HTTP-запрос на конечную точку Hyundai с поддельным адресом в токене JSON и адресом жертвы в теле JSON, минуя проверку.
Получив таким образом доступ к существующей учетной записи законного пользователя, они могли использовать приложение, чтобы разблокировать автомобиль Hyundai, который был частью их эксперимента.
Чтобы проиллюстрировать, насколько простой может быть такая атака, они написали скрипт на Python, который требовал только ввода адреса электронной почты жертвы.
Yuga Labs сообщила об ошибке в Hyundai и работала с компанией над выпуском исправления.
Вторая ошибка затрагивает миллионы автомобилей
Вторая крупная уязвимость была обнаружена в программном обеспечении для телематики автомобилей SiriusXM, используемом более чем 15 производителями автомобилей, включая BMW, Honda, Hyundai, Jaguar, Land Rover, Lexus, Nissan, Subaru и Toyota.
Программное обеспечение позволяет удаленно управлять транспортным средством через мобильные приложения производителей.
Проанализировав сетевой трафик, генерируемый приложением Nissan, исследователи обнаружили, что они могут отправлять поддельные HTTP-запросы на конечную точку только с идентификационным номером транспортного средства (VIN).
VIN можно легко найти на припаркованном автомобиле, и обычно он находится на небольшой табличке на приборной панели автомобиля, рядом с тем местом, где он соприкасается с лобовым стеклом. В Южной Африке VIN также отображается на лицензионном диске транспортного средства.
Используя эту информацию, исследователи извлекли имя жертвы, номер телефона, адрес и данные об автомобиле.
Они также могли удаленно управлять различными функциями автомобиля, включая отслеживание местоположения, блокировку и разблокировку, запуск и остановку, активацию звукового сигнала или мигание фар.
Yuga Labs сообщила о проблеме SiriusXM, которая «немедленно» исправила ее и подтвердила свой патч.
