HomeSecurityBugs σε mobile app της Hyundai και άλλων brands επέτρεπαν παραβίαση οχημάτων

Bugs σε mobile app της Hyundai και άλλων brands επέτρεπαν παραβίαση οχημάτων

Bugs σε mobile apps (MyHyundai και MyGenesis) εξέθεσαν μοντέλα αυτοκινήτων Hyundai και Genesis (μοντέλα μετά το 2012) σε απομακρυσμένες επιθέσεις που επέτρεψαν το ξεκλείδωμα και την εκκίνηση των οχημάτων.

Hyundai bugs

Ερευνητές ασφαλείας της Yuga Labs βρήκαν τα προβλήματα και διερεύνησαν παρόμοια attack surfaces στην πλατφόρμα “smart vehicle”, SiriusXM, που χρησιμοποιείται σε αυτοκίνητα άλλων κατασκευαστών (Toyota, Honda, FCA, Nissan, Acura και Infinity). Οι ερευνητές κατάφεραν να ξεκλειδώσουν τα αυτοκίνητα, να βάλουν μπρος, να πατήσουν φλας και κόρνα από απόσταση.

Οι ερευνητές δεν έχουν ακόμη δημοσιεύσει λεπτομερείς εκθέσεις των ευρημάτων τους, αλλά μοιράστηκαν κάποιες πληροφορίες μέσω Twitter σε δύο ξεχωριστά threads (Hyundai και SiriusXM).

Δείτε επίσης: Cuba ransomware: Πόσα χρήματα έχει κερδίσει η ομάδα;

#secnews #asteroid 

Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη. Ένας "δυνητικά επικίνδυνος" αστεροειδής στο μέγεθος ενός γηπέδου ποδοσφαίρου θα περάσει κοντά στον πλανήτη μας τις πρώτες πρωινές ώρες αύριο (4 Δεκεμβρίου) — και μπορείτε να τον παρακολουθήσετε ζωντανά. Ο γιγαντιαίος διαστημικός βράχος, γνωστός ως 2020 XR, ο οποίος ταξιδεύει με περίπου 44.300 χιλιόμετρα την ώρα, θα φτάσει στην ελάχιστη απόσταση των 2,2 εκατομμυρίων χιλιομέτρων από τη Γη στις 0:27 ET — η πλησιέστερη προσέγγισή του στον πλανήτη μας, σύμφωνα με το Jet Propulsion Laboratory (JPL) της NASA.

00:00 Εισαγωγή
00:21 Κοντινότερη προσέγγιση
00:55 Near Earth Obgects
01:31 Μέγεθος
01:59 Επόμενη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/633112/terastios-dinitika-epikindinos-asteroeidis-plisiazei-gi/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #asteroid

Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη. Ένας "δυνητικά επικίνδυνος" αστεροειδής στο μέγεθος ενός γηπέδου ποδοσφαίρου θα περάσει κοντά στον πλανήτη μας τις πρώτες πρωινές ώρες αύριο (4 Δεκεμβρίου) — και μπορείτε να τον παρακολουθήσετε ζωντανά. Ο γιγαντιαίος διαστημικός βράχος, γνωστός ως 2020 XR, ο οποίος ταξιδεύει με περίπου 44.300 χιλιόμετρα την ώρα, θα φτάσει στην ελάχιστη απόσταση των 2,2 εκατομμυρίων χιλιομέτρων από τη Γη στις 0:27 ET — η πλησιέστερη προσέγγισή του στον πλανήτη μας, σύμφωνα με το Jet Propulsion Laboratory (JPL) της NASA.

00:00 Εισαγωγή
00:21 Κοντινότερη προσέγγιση
00:55 Near Earth Obgects
01:31 Μέγεθος
01:59 Επόμενη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/633112/terastios-dinitika-epikindinos-asteroeidis-plisiazei-gi/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlNBWmhrWDNKVF9N

Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη

SecNewsTV 19 hours ago

Hyundai

Οι εφαρμογές MyHyundai και MyGenesis για κινητά επιτρέπουν στους εξουσιοδοτημένους χρήστες να εκκινούν, να σταματούν, να κλειδώνουν και να ξεκλειδώνουν τα οχήματά τους.

Αφού παρακολούθησαν το traffic που παράγεται από τις δύο εφαρμογές, οι ερευνητές το ανέλυσαν και μπόρεσαν να εξαγάγουν API calls για περαιτέρω έρευνα.

Διαπίστωσαν ότι η επικύρωση του κατόχου γίνεται με βάση τη διεύθυνση email του χρήστη, η οποία περιλαμβανόταν στο JSON body των POST requests.

Οι αναλυτές ανακάλυψαν, επίσης, ότι η εφαρμογή MyHyundai δεν απαιτούσε επιβεβαίωση μέσω email κατά την εγγραφή. Δημιούργησαν έναν νέο λογαριασμό χρησιμοποιώντας τη διεύθυνση email του στόχου με ένα πρόσθετο control character στο τέλος.

MyHyundai SiriusXM
Hyundai: Bugs στο mobile app επέτρεπαν ξεκλείδωμα και εκκίνηση οχημάτων απομακρυσμένα

Τέλος, έστειλαν ένα HTTP request στο τελικό σημείο της Hyundai που περιείχε την πλαστογραφημένη διεύθυνση στο JSON token και τη διεύθυνση του θύματος στο JSON body και έτσι μπόρεσαν να παρακάμψουν τον έλεγχο εγκυρότητας.

Προσπάθησαν να ξεκλειδώσουν ένα αυτοκίνητο Hyundai που χρησιμοποιήθηκε για την έρευνα, προκειμένου να επαληθεύσουν ότι αυτή η τεχνική θα μπορούσε να χρησιμοποιηθεί για μια επίθεση. Λίγα δευτερόλεπτα αργότερα, είχαν ξεκλειδώσει το αυτοκίνητο.

Δείτε επίσης: Βατικανό: Το website του επλήγη από ύποπτη κυβερνοεπίθεση

Η επίθεση πολλαπλών βημάτων τελικά ενσωματώθηκε σε ένα custom Python script, το οποίο χρειαζόταν μόνο τη διεύθυνση email του στόχου για την επίθεση.

SiriusXM

Η SiriusXM είναι, μεταξύ άλλων, ένας πάροχος υπηρεσιών “vehicle telematics” που χρησιμοποιείται από περισσότερους από 15 κατασκευαστές αυτοκινήτων.

Οι αναλυτές της Yuga Labs διαπίστωσαν ότι οι εφαρμογές για κινητά για Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru και Toyota χρησιμοποιούν την τεχνολογία SiriusXM για την εφαρμογή λειτουργιών απομακρυσμένης διαχείρισης οχημάτων.

Ελέγχοντας το network traffic από την εφαρμογή της Nissan διαπίστωσαν ότι κάποιος που γνωρίζει το vehicle identification number (VIN) του οχήματος, μπορούσε να στείλει πλαστά HTTP requests στο τελικό σημείο.

Η απάντηση στο μη εξουσιοδοτημένο αίτημα περιείχε το όνομα, τον αριθμό τηλεφώνου, τη διεύθυνση και τα στοιχεία του οχήματος του στόχου.

Λαμβάνοντας υπόψη ότι τα VIN είναι εύκολο να εντοπιστούν σε σταθμευμένα αυτοκίνητα, ένας επιτιθέμενος θα μπορούσε εύκολα να έχει πρόσβαση σε αυτό. Αυτοί οι αριθμοί αναγνώρισης είναι επίσης διαθέσιμοι σε εξειδικευμένους ιστότοπους πώλησης αυτοκινήτων, προκειμένου οι υποψήφιοι αγοραστές να ελέγξουν το ιστορικό του οχήματος.

Στο μεταξύ, τα αιτήματα μπορούν επίσης να φέρουν εντολές για την εκτέλεση ενεργειών στα αυτοκίνητα.

Hyundai αυτοκίνητα
Hyundai: Bugs στο mobile app επέτρεπαν ξεκλείδωμα και εκκίνηση οχημάτων απομακρυσμένα

Πριν δημοσιεύσει τις λεπτομέρειες, η Yuga Labs ενημέρωσε τόσο τη Hyundai όσο και τη SiriusXM για τα bugs στις εφαρμογές και τους σχετικούς κινδύνους.

Δείτε επίσης: H APT37 χρησιμοποιεί το Dolphin backdoor σε επιθέσεις

Οι ευπάθειες έχουν τώρα διορθωθεί.

Μάλιστα εκπρόσωπος της Hyundai είπε στο BleepingComputer ότι η εταιρεία εργάστηκε με συμβούλους για να διερευνήσει την ευπάθεια μόλις ενημερώθηκε από τους ερευνητές.

Εκτός από τα οχήματα της Hyundai και τους λογαριασμούς που ανήκουν στους ίδιους τους ερευνητές, η έρευνά μας έδειξε ότι κανένα όχημα ή λογαριασμός πελατών δεν είχε παραβιαστεί από άλλους ως αποτέλεσμα των ζητημάτων που έθεσαν οι ερευνητές.

Σημειώνουμε επίσης ότι για να χρησιμοποιηθεί η ευπάθεια, απαιτούνταν να είναι γνωστή η διεύθυνση ηλεκτρονικού ταχυδρομείου που σχετίζεται με τον συγκεκριμένο λογαριασμό και όχημα Hyundai, καθώς και το συγκεκριμένο web-script που χρησιμοποιούσαν οι ερευνητές.

Ωστόσο, η Hyundai εφάρμοσε μέτρα για να ενισχύσει περαιτέρω την ασφάλεια και την ασφάλεια των συστημάτων μας… Εκτιμούμε τη συνεργασία μας με ερευνητές ασφαλείας και εκτιμούμε τη βοήθεια αυτής της ομάδας“, είπε ο εκπρόσωπος στο BleepingComputer.

Η SiriusXM είπε, επίσης, ότι δεν έχουν επηρεαστεί πελάτες.

Ευτυχώς, τα bugs στα apps των Hyundai και Genesis έχουν διορθωθεί, αλλά τα παραπάνω δείχνουν πόσο επικίνδυνα έχουν γίνει τα πράγματα και πώς το hacking μπορεί να χρησιμοποιηθεί και για την παραβίαση ενός αυτοκινήτου. Ευτυχώς, οι ευπάθειες αυτές ανακαλύφθηκαν πρώτα από ερευνητές ασφαλείας και όχι από κακόβουλους hackers.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS