Bugs σε mobile apps (MyHyundai και MyGenesis) εξέθεσαν μοντέλα αυτοκινήτων Hyundai και Genesis (μοντέλα μετά το 2012) σε απομακρυσμένες επιθέσεις που επέτρεψαν το ξεκλείδωμα και την εκκίνηση των οχημάτων.
Ερευνητές ασφαλείας της Yuga Labs βρήκαν τα προβλήματα και διερεύνησαν παρόμοια attack surfaces στην πλατφόρμα “smart vehicle”, SiriusXM, που χρησιμοποιείται σε αυτοκίνητα άλλων κατασκευαστών (Toyota, Honda, FCA, Nissan, Acura και Infinity). Οι ερευνητές κατάφεραν να ξεκλειδώσουν τα αυτοκίνητα, να βάλουν μπρος, να πατήσουν φλας και κόρνα από απόσταση.
Οι ερευνητές δεν έχουν ακόμη δημοσιεύσει λεπτομερείς εκθέσεις των ευρημάτων τους, αλλά μοιράστηκαν κάποιες πληροφορίες μέσω Twitter σε δύο ξεχωριστά threads (Hyundai και SiriusXM).
Δείτε επίσης: Cuba ransomware: Πόσα χρήματα έχει κερδίσει η ομάδα;
 εξέθεσαν μοντέλα αυτοκινήτων Hyundai και Genesis σε επιθέσεις που επέτρεψαν το ξεκλείδωμα){kind=link}
Hyundai
Οι εφαρμογές MyHyundai και MyGenesis για κινητά επιτρέπουν στους εξουσιοδοτημένους χρήστες να εκκινούν, να σταματούν, να κλειδώνουν και να ξεκλειδώνουν τα οχήματά τους.
Αφού παρακολούθησαν το traffic που παράγεται από τις δύο εφαρμογές, οι ερευνητές το ανέλυσαν και μπόρεσαν να εξαγάγουν API calls για περαιτέρω έρευνα.
Διαπίστωσαν ότι η επικύρωση του κατόχου γίνεται με βάση τη διεύθυνση email του χρήστη, η οποία περιλαμβανόταν στο JSON body των POST requests.
Οι αναλυτές ανακάλυψαν, επίσης, ότι η εφαρμογή MyHyundai δεν απαιτούσε επιβεβαίωση μέσω email κατά την εγγραφή. Δημιούργησαν έναν νέο λογαριασμό χρησιμοποιώντας τη διεύθυνση email του στόχου με ένα πρόσθετο control character στο τέλος.
Τέλος, έστειλαν ένα HTTP request στο τελικό σημείο της Hyundai που περιείχε την πλαστογραφημένη διεύθυνση στο JSON token και τη διεύθυνση του θύματος στο JSON body και έτσι μπόρεσαν να παρακάμψουν τον έλεγχο εγκυρότητας.
Προσπάθησαν να ξεκλειδώσουν ένα αυτοκίνητο Hyundai που χρησιμοποιήθηκε για την έρευνα, προκειμένου να επαληθεύσουν ότι αυτή η τεχνική θα μπορούσε να χρησιμοποιηθεί για μια επίθεση. Λίγα δευτερόλεπτα αργότερα, είχαν ξεκλειδώσει το αυτοκίνητο.
Δείτε επίσης: Βατικανό: Το website του επλήγη από ύποπτη κυβερνοεπίθεση
Η επίθεση πολλαπλών βημάτων τελικά ενσωματώθηκε σε ένα custom Python script, το οποίο χρειαζόταν μόνο τη διεύθυνση email του στόχου για την επίθεση.
SiriusXM
Η SiriusXM είναι, μεταξύ άλλων, ένας πάροχος υπηρεσιών “vehicle telematics” που χρησιμοποιείται από περισσότερους από 15 κατασκευαστές αυτοκινήτων.
Οι αναλυτές της Yuga Labs διαπίστωσαν ότι οι εφαρμογές για κινητά για Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru και Toyota χρησιμοποιούν την τεχνολογία SiriusXM για την εφαρμογή λειτουργιών απομακρυσμένης διαχείρισης οχημάτων.
Ελέγχοντας το network traffic από την εφαρμογή της Nissan διαπίστωσαν ότι κάποιος που γνωρίζει το vehicle identification number (VIN) του οχήματος, μπορούσε να στείλει πλαστά HTTP requests στο τελικό σημείο.
Η απάντηση στο μη εξουσιοδοτημένο αίτημα περιείχε το όνομα, τον αριθμό τηλεφώνου, τη διεύθυνση και τα στοιχεία του οχήματος του στόχου.
Λαμβάνοντας υπόψη ότι τα VIN είναι εύκολο να εντοπιστούν σε σταθμευμένα αυτοκίνητα, ένας επιτιθέμενος θα μπορούσε εύκολα να έχει πρόσβαση σε αυτό. Αυτοί οι αριθμοί αναγνώρισης είναι επίσης διαθέσιμοι σε εξειδικευμένους ιστότοπους πώλησης αυτοκινήτων, προκειμένου οι υποψήφιοι αγοραστές να ελέγξουν το ιστορικό του οχήματος.
Στο μεταξύ, τα αιτήματα μπορούν επίσης να φέρουν εντολές για την εκτέλεση ενεργειών στα αυτοκίνητα.
Πριν δημοσιεύσει τις λεπτομέρειες, η Yuga Labs ενημέρωσε τόσο τη Hyundai όσο και τη SiriusXM για τα bugs στις εφαρμογές και τους σχετικούς κινδύνους.
Δείτε επίσης: H APT37 χρησιμοποιεί το Dolphin backdoor σε επιθέσεις
Οι ευπάθειες έχουν τώρα διορθωθεί.
Μάλιστα εκπρόσωπος της Hyundai είπε στο BleepingComputer ότι η εταιρεία εργάστηκε με συμβούλους για να διερευνήσει την ευπάθεια μόλις ενημερώθηκε από τους ερευνητές.
“Εκτός από τα οχήματα της Hyundai και τους λογαριασμούς που ανήκουν στους ίδιους τους ερευνητές, η έρευνά μας έδειξε ότι κανένα όχημα ή λογαριασμός πελατών δεν είχε παραβιαστεί από άλλους ως αποτέλεσμα των ζητημάτων που έθεσαν οι ερευνητές.
Σημειώνουμε επίσης ότι για να χρησιμοποιηθεί η ευπάθεια, απαιτούνταν να είναι γνωστή η διεύθυνση ηλεκτρονικού ταχυδρομείου που σχετίζεται με τον συγκεκριμένο λογαριασμό και όχημα Hyundai, καθώς και το συγκεκριμένο web-script που χρησιμοποιούσαν οι ερευνητές.
Ωστόσο, η Hyundai εφάρμοσε μέτρα για να ενισχύσει περαιτέρω την ασφάλεια και την ασφάλεια των συστημάτων μας… Εκτιμούμε τη συνεργασία μας με ερευνητές ασφαλείας και εκτιμούμε τη βοήθεια αυτής της ομάδας“, είπε ο εκπρόσωπος στο BleepingComputer.
Η SiriusXM είπε, επίσης, ότι δεν έχουν επηρεαστεί πελάτες.
Ευτυχώς, τα bugs στα apps των Hyundai και Genesis έχουν διορθωθεί, αλλά τα παραπάνω δείχνουν πόσο επικίνδυνα έχουν γίνει τα πράγματα και πώς το hacking μπορεί να χρησιμοποιηθεί και για την παραβίαση ενός αυτοκινήτου. Ευτυχώς, οι ευπάθειες αυτές ανακαλύφθηκαν πρώτα από ερευνητές ασφαλείας και όχι από κακόβουλους hackers.
Πηγή: www.bleepingcomputer.com