Hyundai app ranjivost izložila je modele automobila Hyundai i Genesis nakon 2012. daljinskim napadima koji su omogućili otključavanje, pa čak i pokretanje vozila.
Sigurnosni istraživači u Yuga Labsu pronašli su probleme i istražili slične napade u SiriusXM platformi “pametnog vozila” koja se koristi u automobilima drugih proizvođača (Toyota, Honda, FCA, Nissan, Acura i Infinity) koja im je omogućila “daljinsko otključavanje, pokretanje, lociranje, blicanje i trubljenje.
U ovom trenutku istraživači nisu objavili detaljne tehničke opise svojih otkrića, ali su podijelili neke informacije na Twitteru, u dvije odvojene teme (Hyundai, SiriusXM).
Mobilne aplikacije Hyundaija i Genesisa, nazvane MyHyundai i MyGenesis, omogućuju autentificiranim korisnicima pokretanje, zaustavljanje, zaključavanje i otključavanje svojih vozila.
Nakon presretanja prometa generiranog iz dviju aplikacija, istraživači su ga analizirali i uspjeli izdvojiti API pozive za daljnju istragu.
Otkrili su da se provjera valjanosti vlasnika vrši na temelju adrese e-pošte korisnika, a zatim su analitičari otkrili da MyHyundai nije zahtijevao potvrdu e-pošte prilikom registracije. Stvorili su novi račun koristeći adresu e-pošte dodatnim kontrolnim znakom na kraju.
Konačno, poslali su HTTP zahtjev Hyundaijevom endpointu koji je sadržavao lažiranu adresu u JSON tokenu i adresu žrtve u JSON tijelu, zaobilazeći provjeru valjanosti.
Kako bi provjerili mogu li ovaj pristup iskoristiti za napad na automobil, pokušali su otključati automobil Hyundai korišten za istraživanje. Nekoliko sekundi kasnije, auto se otključao.
Napad u više koraka na kraju je uklopljen u prilagođenu Python skriptu, kojoj je za napad bila potrebna samo adresa e-pošte cilja.
SiriusXM je, između ostalog, pružatelj telematskih usluga za vozila koje koristi više od 15 proizvođača automobila. Dobavljač tvrdi da upravlja s 12 miliona povezanih automobila koji pokreću više od 50 usluga u okviru jedinstvene platforme.
Analitičari Yuga Labsa otkrili su da mobilne aplikacije za Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru i Toyota koriste tehnologiju SiriusXM za implementaciju daljinskog upravljanja vozilom.
Pregledali su mrežni promet iz Nissanove aplikacije i otkrili da je moguće slati krivotvorene HTTP zahtjeve endpointu samo uz poznavanje identifikacijskog broja ciljanog vozila (VIN).
Odgovor na neovlašteni zahtjev sadržavao je ime mete, broj telefona, adresu i podatke o vozilu.
Uzimajući u obzir da je VIN brojeve lako pronaći na parkiranim automobilima, obično vidljive na pločici gdje se upravljačka ploča spaja s vjetrobranskim staklom, napadač bi mu mogao lako pristupiti. Ovi identifikacijski brojevi također su dostupni na specijaliziranim web stranicama za prodaju automobila, kako bi potencijalni kupci mogli provjeriti historiju vozila.
Osim otkrivanja informacija, zahtjevi također mogu sadržavati naredbe za izvršavanje radnji na automobilima.
BleepingComputer je kontaktirao Hyundai i SiriusXM kako bi pitao jesu li gore navedeni problemi iskorišteni protiv stvarnih kupaca.
Prije objavljivanja pojedinosti, Yuga Labs obavijestio je Hyundai i SiriusXM o nedostacima i povezanim rizicima. Dva su dobavljača popravila ranjivosti.
Istraživač Sam Curry pojasnio je za BleepingComputer što naredbe na kućištu SiriusXM mogu učiniti, poslavši sljedeći komentar:
Za svaku marku automobila (pomoću SiriusXM-a) proizvedenu nakon 2015., moglo se daljinski pratiti, zaključati/otključati, pokrenuti/zaustaviti, zatrubiti ili upaliti prednja svjetla samo znajući njihov VIN broj.
Za automobile proizvedene prije toga, većina ih je još uvijek priključena na SiriusXM i bilo bi moguće skenirati njihov VIN broj kroz njihovo vjetrobransko staklo i preuzeti njihov SiriusXM račun, otkrivajući njihovo ime, telefonski broj, adresu i podatke o naplati spojene na njihov SiriusXM račun.
Glasnogovornik Hyundaija podijelio je sljedeći komentar s BleepingComputerom:
Hyundai je marljivo radio s konsultantima treće strane kako bi istražili navodnu ranjivost čim su nam istraživači skrenuli pažnju na nju.
Ono što je važno, osim vozila Hyundai i računa koji pripadaju samim istraživačima, naša je istraga pokazala da drugi nisu pristupili nijednom vozilu ili računima kupaca kao rezultat pitanja koja su postavili istraživači.
Također napominjemo da je, kako bi se iskoristila navodna ranjivost, morala biti poznata adresa e-pošte povezana s određenim Hyundai računom i vozilom, kao i određena web-skripta koju su koristili istraživači.
Ipak, Hyundai je proveo protumjere u roku od nekoliko dana od obavijesti kako bi dodatno poboljšao sigurnost i zaštitu naših sistema. Hyundai također želi pojasniti da na nas nije utjecala pogreška SXM autorizacije.
Cijenimo našu suradnju sa sigurnosnim istraživačima i cijenimo pomoć ovog tima.
Glasnogovornik SiriusXM-a poslao je sljedeći komentar BleepingComputeru:
To nije utjecalo ni na jednog kupca.
Naši bug bounty programi su nešto što radimo rutinski u toku našeg poslovanja.
Nastavit ćemo surađivati s neovisnim istraživačima i/ili drugim subjektima trećih strana.
IZVOR: BleepingComputer
