.
Vários bugs que afetam milhões de veículos de quase todas as principais marcas de automóveis podem permitir que criminosos realizem qualquer tipo de dano – em alguns casos, incluindo aquisições totais – explorando vulnerabilidades nos sistemas telemáticos dos veículos, APIs automotivas e infraestrutura de suporte, de acordo com pesquisadores de segurança.
Especificamente, as vulnerabilidades afetam Mercedes-Benz, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar e Land Rover, além da empresa de gerenciamento de frotas Spireon e da empresa de placas digitais Reviver.
A pesquisa se baseia nas expedições anteriores de hackers de carros de Sam Curry, da Yuga Labs, que descobriram falhas que afetavam Veículos Hyundai e Genesisbem como Hondas, Nissans, Infinitis e Acuras por meio de uma falha de autorização em Serviços de veículos conectados da Sirius XM.
Todos os bugs já foram corrigidos.
“Todas as empresas afetadas corrigiram os problemas em um ou dois dias após o relatório”, disse Curry Strong The One. “Trabalhamos com todos eles para validá-los e garantir que não houvesse desvios.”
Os bugs mais graves, pelo menos do ponto de vista da segurança pública, foram encontrados na Spireon, que possui várias marcas de rastreamento de veículos por GPS e gerenciamento de frotas, incluindo OnStar, GoldStar, LoJack, FleetLocate e NSpire, abrangendo 15 milhões de veículos conectados.
Spireon, ao que parece, teria sido um tesouro para os malfeitores. Curry e a equipe descobriram várias vulnerabilidades na injeção de SQL e desvio de autorização para executar a execução remota de código em toda a Spireon e assumir totalmente o controle de qualquer veículo da frota.
“Isso nos permitiria rastrear e desligar os acionadores da polícia, ambulâncias e veículos de aplicação da lei para várias grandes cidades e enviar comandos para esses veículos”, disseram os pesquisadores. escrevi.
Os bugs também deram a eles acesso total de administrador ao Spireon e a um painel de administração em toda a empresa, a partir do qual um invasor poderia enviar comandos arbitrários a todos os 15 milhões de veículos, destrancando remotamente portas, buzinando, ligando motores e desativando motores de partida.
“Nossos profissionais de segurança cibernética se reuniram com o pesquisador de segurança para discutir e avaliar as supostas vulnerabilidades do sistema e imediatamente implementaram medidas corretivas na medida do necessário”, disse um porta-voz da Spireon Strong The One. “Também tomamos medidas proativas para fortalecer ainda mais a segurança em nosso portfólio de produtos como parte de nosso compromisso contínuo com nossos clientes como fornecedor líder de soluções telemáticas de reposição.”
“A Spireon leva todos os assuntos de segurança a sério e utiliza um amplo conjunto de ferramentas líderes da indústria para monitorar e escanear seus produtos e serviços em busca de riscos de segurança potenciais conhecidos e novos”, acrescentou o porta-voz.
Ferrari, BMW e Rolls-Royce
Passando para o carro dos sonhos de muitos fanáticos por gasolina: Ferrari.
Com a Ferrari, os pesquisadores descobriram controles de acesso excessivamente permissivos que lhes permitiam acessar o código JavaScript de vários aplicativos internos. O código continha chaves e credenciais de API que poderiam permitir que invasores acessassem registros de clientes e controlassem (ou excluíssem) contas de clientes.
“Além disso, um invasor pode postar no endpoint “/core/api/v1/Users/:id/Roles” para editar suas funções de usuário, configurando-se para ter permissões de superusuário ou se tornar proprietário de uma Ferrari”, disseram os pesquisadores.
A falta de controles de acesso também poderia ter permitido que criminosos criassem e excluíssem contas de usuários administrativos de “back office” de funcionários e, em seguida, modificassem sites de propriedade da Ferrari, incluindo seu sistema CMS.
Enquanto isso, um portal de logon único (SSO) mal configurado para todos os funcionários e contratados da BMW, proprietária da Rolls-Royce, permitiria o acesso a qualquer aplicativo por trás do portal.
Assim, por exemplo, um invasor pode acessar um portal interno do revendedor, consultar um número VIN e recuperar todos os documentos de vendas associados ao veículo.
Nem a Ferrari nem a BMW responderam a Strong The Onepedidos de comentário.
O que não dizer a um caçador de insetos
Da mesma forma, um SSO mal configurado para a Mercedes-Benz permitiu que os pesquisadores criassem uma conta de usuário em um site destinado a oficinas mecânicas para solicitar ferramentas específicas. Eles então usaram essa conta para entrar no Github da Mercedes-Benz, que continha documentação interna e código-fonte para vários projetos da Mercedes-Benz, incluindo seu aplicativo Me Connect usado pelos clientes para se conectar remotamente a seus veículos.
Os pesquisadores relataram essa vulnerabilidade à montadora e observaram que a Mercedes-Benz “parecia não entender o impacto” e queria mais detalhes sobre por que isso era um problema.
Assim, a equipe usou suas credenciais de conta recém-criadas para fazer login em vários aplicativos que continham dados confidenciais. Em seguida, eles “conseguiram a execução remota de código por meio de atuadores expostos, consoles de mola e dezenas de aplicativos internos sensíveis usados por funcionários da Mercedes-Benz”.
Um deles era a versão do Slack da montadora. “Tínhamos permissão para ingressar em qualquer canal, incluindo canais de segurança, e poderíamos nos passar por funcionários da Mercedes-Benz que poderiam fazer todas as perguntas necessárias para que um invasor real elevasse seus privilégios na infraestrutura da Benz”, explicaram os pesquisadores.
Um porta-voz da Mercedes-Benz confirmou que Curry entrou em contato com a empresa sobre a vulnerabilidade e que ela foi corrigida.
“A segurança da nossa organização, produtos e serviços é uma das nossas principais prioridades”, disse o porta-voz, acrescentando que “a vulnerabilidade identificada não afetou a segurança dos nossos veículos”.
Curry e seus amigos também descobriram vulnerabilidades que afetavam o serviço de telemática da Porsche, que lhes permitia recuperar remotamente a localização do veículo e enviar comandos do veículo.
Além disso, eles encontraram uma vulnerabilidade de controle de acesso no aplicativo Toyota Financial que divulgava o nome, número de telefone, endereço de e-mail e status do empréstimo de qualquer cliente. Toyota Motor Credit disse Strong The One que corrigiu o problema e observou que “isso não tinha conexão com os veículos Toyota ou como eles operam”.
Além disso, um porta-voz da Porsche disse Strong The One “a segurança e proteção do software do carro em nossos veículos é sempre uma prioridade para a Porsche.”
“Monitoramos permanentemente nossos sistemas”, disse o porta-voz. “Levamos muito a sério qualquer indicação de vulnerabilidade. Nossa principal prioridade é impedir o acesso não autorizado de terceiros aos sistemas de nossos veículos.” ®
.
