Владельцем Ferrari можно стать, не выходя из дома

Фото из открытых источников.

По словам исследователей кибербезопасности, уязвимости в телематических системах миллионов автомобилей популярных марок могут позволить злоумышленникам полностью захватить автомобиль.

Ошибки затрагивают Mercedes-Benz, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar и Land Rover, а также компанию по управлению автопарком Spireon.

Компании Spireon принадлежат несколько брендов GPS-отслеживания транспортных средств и управления автопарком, охватывающих 15 млн. подключенных автомобилей. Сообщается, что самые опасные ошибки содержались в системах Spireon и включали в себя:

  • несколько уязвимостей, позволяющих внедрять SQL-инъекции;
  • RCE-уязвимости обхода аутентификации, которые позволяли полностью контролировать любое транспортное средство.

По словам аналитиков, с помощью этих недостатков можно было получить полный доступ к панели администрирования всей компании Spireon, а затем отправлять произвольные команды всем 15 млн. автомобилям – открывать двери, активировать гудок, запускать двигатель и отключать стартеры.

Опасность заключается в том, что злоумышленник мог отслеживать и отключать стартеры автомобилей экстренных служб, полиции, скорой помощи и правоохранительных органов в крупных городах.

Ferrari

В системах Ferrari были обнаружены элементы управления доступом, которые открыли доступ к JavaScript-коду для нескольких внутренних приложений. Код содержал API-ключи и учетные данные, которые могли позволить злоумышленнику захватить (или удалить) их учетные записи. Кроме того, с помощью POST-запроса можно было установить права суперпользователя или стать владельцем Ferrari.

Отсутствие контроля доступа также могло позволить киберпреступнику создавать и удалять учетные записи администраторов бэк-офиса сотрудников, а затем изменять веб-сайты, принадлежащие Ferrari, включая ее CMS-систему.

BMW и Rolls-Royce

Неправильно настроенная система единого входа (Single sign-on, SSO) для всех сотрудников и клиентов BMW и Rolls-Royce позволяла хакеру получить доступ к внутреннему дилерскому порталу, запросить VIN-номер и получить все документы о продаже автомобиля.

Mercedes-Benz

Используя неправильно настроенную SSO-систему в Mercedes-Benz можно было создать учетную запись пользователя на сайте для автосервисов и запрашивать инструменты и запчасти.

Эксперты также использовали эту учетную запись для входа в Github Mercedes-Benz, где хранилась внутренняя документация и исходный код для различных проектов компании, включая приложение Me Connect, используемое клиентами для удаленного подключения к своим автомобилям.

Также специалистам удалось проникнуть в канал связи Slack и выдать себя за сотрудника компании, который с помощью социальной инженерии мог повысить свои привилегии в инфраструктуре Mercedes-Benz.

Porsche и Toyota

Уязвимости в системах Porsche и Toyota позволяли:

 

  • удаленно определять местоположение и отправлять команды автомобилям Porsche;
  • узнать имя, номер телефона, адрес электронной почты и статус кредита клиентов Toyota Motor Credit.

Недостатки обнаружил исследователь кибербезопасности Сэм Карри из Yuga Labs и сообщил о них автопроизводителям. На данный момент все недостатки исправлены.