Cómo hacerse cargo de la cuenta de Ferrari de forma remota, es decir, • Registro
Los múltiples errores, que afectan a millones de vehículos de casi todas las principales marcas de automóviles, permiten a los malhechores explotar las vulnerabilidades en los sistemas telemáticos de los vehículos, las API de los vehículos y la infraestructura de soporte para causar todo tipo de estragos, incluida en algunos casos una adquisición completa, según seguridad. investigadores pueden dar
En particular, las vulnerabilidades afectan a Mercedes-Benz, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar y Land Rover, así como a la empresa de gestión de flotas Spireon y la empresa de matrículas digitales Reviver.
La investigación se basa en expediciones anteriores de piratería de automóviles realizadas por Sam Curry de Yuga Labs. Autos Hyundai y Génesistambién con defecto de autorización en Hondas, Nissans, Infinitis y Acuras Servicios de automóvil conectado de Sirius XM.
Todos los errores se han solucionado desde entonces.
“Las empresas afectadas resolvieron los problemas uno o dos días después de la presentación de informes”, dijo Curry. Registro. “Trabajamos con todos ellos para validarlos y asegurarnos de que no hubiera desvíos”.
Los errores más graves, al menos desde una perspectiva de seguridad pública, se encontraron en Spireon, que posee varios servicios de gestión de flotas y rastreo de vehículos por GPS, incluidos OnStar, GoldStar, LoJack, FleetLocate y NSpire, que cubren 15 millones de vehículos conectados.
Spireon, resulta que sería un tesoro para los villanos. Curry y el equipo descubrieron múltiples vulnerabilidades en la inyección SQL y el cambio de autorización para realizar la ejecución remota de código en todos los Spireons y secuestrar por completo cualquier vehículo de la flota.
“Esto permitiría a la policía, las ambulancias y los vehículos policiales de varias ciudades importantes rastrear y bloquear los motores de arranque y enviar comandos a esos vehículos”, dijeron los investigadores. el escribio.
Las fallas también les dieron acceso de administrador completo a Spireon y a un panel de control de toda la empresa, desde el cual un atacante podría enviar comandos arbitrarios a los 15 millones de vehículos, desbloqueando puertas, haciendo sonar bocinas, arrancando motores y apagando motores de forma remota.
“Nuestros expertos en seguridad cibernética se reunieron con el investigador de seguridad para analizar y evaluar las supuestas vulnerabilidades del sistema e implementaron de inmediato acciones correctivas en la medida requerida”, dijo un portavoz de Spireon. Registro. “También hemos tomado medidas proactivas para fortalecer aún más la seguridad en toda nuestra cartera de productos como parte de nuestro compromiso continuo con nuestros clientes como proveedor líder de soluciones telemáticas de posventa”.
“Spireon se toma en serio todos los problemas de seguridad y utiliza un amplio conjunto de herramientas líderes en la industria para monitorear y escanear sus productos y servicios en busca de riesgos de seguridad potenciales nuevos y conocidos”, dijo un portavoz.
Ferrari, BMW y Rolls Royce
Pasamos al coche de los sueños de muchos petrolheads: el Ferrari.
Con Ferrari, los investigadores encontraron controles de acceso demasiado permisivos que permitían el acceso al código JavaScript para varias aplicaciones integradas. El código contiene claves API y credenciales que podrían permitir a los atacantes acceder a los registros de los clientes y secuestrar (o eliminar) las cuentas de los clientes.
“Además, un atacante puede publicar en el punto final ‘/core/api/v1/Users/:id/Roles’ para editar sus roles de usuario, obtener permisos de superusuario o convertirse en propietario de un Ferrari”, dijeron los investigadores.
La falta de controles de acceso también podría haber permitido a los malhechores crear y eliminar cuentas de usuario de administrador de “back-office” de los empleados y luego modificar los sitios web propiedad de Ferrari, incluido su sistema CMS.
Mientras tanto, un portal de inicio de sesión único (SSO) mal configurado para todos los empleados y contratistas de BMW propietarios de Rolls-Royce habría dado acceso a cualquier aplicación detrás del portal.
Entonces, por ejemplo, un atacante podría acceder al portal interno del distribuidor, consultar el número VIN y luego obtener todos los documentos de venta asociados con el vehículo.
Ni Ferrari ni BMW respondieron Registrorequisitos de interpretación.
Qué no decirle a un cazador de bichos
De manera similar, un SSO mal configurado para Mercedes-Benz permitió a los investigadores crear una cuenta de usuario en un sitio web diseñado para que los talleres de reparación de automóviles solicitaran herramientas específicas. Luego usaron esa cuenta para acceder a Mercedes-Benz Github, que contiene documentación interna y código fuente para varios proyectos de Mercedes-Benz, incluida la aplicación Me Connect que los clientes usan para conectarse de forma remota a sus automóviles.
Los investigadores informaron sobre la vulnerabilidad al fabricante de automóviles, quien señaló que Mercedes-Benz “parece haber entendido mal el efecto” y quería más información sobre por qué era un problema.
Por lo tanto, el equipo usó las credenciales de cuenta recién creadas para acceder a varias aplicaciones que contenían datos confidenciales. Luego “lograron la ejecución remota de código a través de actuadores expuestos, consolas con resorte y docenas de programas internos sensibles utilizados por los empleados de Mercedes-Benz”.
Una era la versión de Slack del fabricante de automóviles. “Teníamos acceso a cualquier canal, incluidos los canales de seguridad, y podíamos pretender ser un empleado de Mercedes-Benz que podía hacer cualquier pregunta que un atacante real necesitaría para elevar sus privilegios en la infraestructura de Benz”.
Un portavoz de Mercedes-Benz confirmó que Curry se había puesto en contacto con la empresa y que se había solucionado la vulnerabilidad.
“La seguridad de nuestra organización, productos y servicios es una de nuestras principales prioridades”, dijo un portavoz, y agregó que “la vulnerabilidad identificada no afecta la seguridad de nuestros vehículos”.
Curry y sus amigos también descubrieron vulnerabilidades que afectan el servicio telemático de Porsche, que les permite ubicar un automóvil de forma remota y enviar comandos al mismo.
Además, descubrieron una vulnerabilidad de control de acceso en el software de Toyota Financial que exponía el nombre, el número de teléfono, la dirección de correo electrónico y el estado crediticio de cualquier cliente. Así lo informó Toyota Motor Credit Registro que había solucionado el problema y señaló que “no tiene nada que ver con los vehículos Toyota o cómo funcionan”.
Además, la portavoz de Porsche dijo Registro “La seguridad y protección del software del vehículo en nuestros vehículos es siempre una prioridad máxima para Porsche”.
“Estamos monitoreando constantemente nuestros sistemas”, dijo el vocero. “Nos tomamos muy en serio cualquier signo de vulnerabilidad. Nuestra máxima prioridad es evitar el acceso no autorizado a los sistemas de nuestros vehículos por parte de terceros”. ®
