PAINNOMORE
Участник
По словам исследователей кибербезопасности, уязвимости в телематических системах миллионов автомобилей популярных марок могут позволить злоумышленникам полностью захватить автомобиль.
Ошибки затрагивают Mercedes-Benz, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar и Land Rover, а также компанию по управлению автопарком Spireon.
Компании Spireon принадлежат несколько брендов GPS-отслеживания транспортных средств и управления автопарком, охватывающих 15 млн. подключенных автомобилей. Самые опасные ошибки содержались в системах Spireon и включали в себя:
Опасность заключается в том, что злоумышленник мог отслеживать и отключать стартеры автомобилей экстренных служб, полиции, скорой помощи и правоохранительных органов в крупных городах.
Ferrari
В системах Ferrari были обнаружены элементы управления доступом, которые открыли доступ к JavaScript-коду для нескольких внутренних приложений. Код содержал API-ключи и учетные данные, которые могли позволить злоумышленнику захватить (или удалить) их учетные записи. Кроме того, с помощью POST-запроса можно было установить права суперпользователя или стать владельцем Ferrari.
Отсутствие контроля доступа также могло позволить киберпреступнику создавать и удалять учетные записи администраторов бэк-офиса сотрудников, а затем изменять веб-сайты, принадлежащие Ferrari, включая ее CMS-систему.
BMW и Rolls-Royce
Неправильно настроенная система единого входа (Single sign-on, SSO) для всех сотрудников и клиентов BMW и Rolls-Royce позволяла хакеру получить доступ к внутреннему дилерскому порталу, запросить VIN-номер и получить все документы о продаже автомобиля.
Mercedes-Benz
Используя неправильно настроенную SSO-систему в Mercedes-Benz можно было создать учетную запись пользователя на сайте для автосервисов и запрашивать инструменты и запчасти.
Эксперты также использовали эту учетную запись для входа в Github Mercedes-Benz, где хранилась внутренняя документация и исходный код для различных проектов компании, включая приложение Me Connect, используемое клиентами для удаленного подключения к своим автомобилям.
Также специалистам удалось проникнуть в канал связи Slack и выдать себя за сотрудника компании, который с помощью социальной инженерии мог повысить свои привилегии в инфраструктуре Mercedes-Benz.
Porsche и Toyota
Уязвимости в системах Porsche и Toyota позволяли:
Ошибки затрагивают Mercedes-Benz, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar и Land Rover, а также компанию по управлению автопарком Spireon.
Компании Spireon принадлежат несколько брендов GPS-отслеживания транспортных средств и управления автопарком, охватывающих 15 млн. подключенных автомобилей. Самые опасные ошибки содержались в системах Spireon и включали в себя:
- несколько уязвимостей, позволяющих внедрять SQL-инъекции;
- RCE-уязвимости обхода аутентификации, которые позволяли полностью контролировать любое транспортное средство.
Опасность заключается в том, что злоумышленник мог отслеживать и отключать стартеры автомобилей экстренных служб, полиции, скорой помощи и правоохранительных органов в крупных городах.
Ferrari
В системах Ferrari были обнаружены элементы управления доступом, которые открыли доступ к JavaScript-коду для нескольких внутренних приложений. Код содержал API-ключи и учетные данные, которые могли позволить злоумышленнику захватить (или удалить) их учетные записи. Кроме того, с помощью POST-запроса можно было установить права суперпользователя или стать владельцем Ferrari.
Отсутствие контроля доступа также могло позволить киберпреступнику создавать и удалять учетные записи администраторов бэк-офиса сотрудников, а затем изменять веб-сайты, принадлежащие Ferrari, включая ее CMS-систему.
BMW и Rolls-Royce
Неправильно настроенная система единого входа (Single sign-on, SSO) для всех сотрудников и клиентов BMW и Rolls-Royce позволяла хакеру получить доступ к внутреннему дилерскому порталу, запросить VIN-номер и получить все документы о продаже автомобиля.
Mercedes-Benz
Используя неправильно настроенную SSO-систему в Mercedes-Benz можно было создать учетную запись пользователя на сайте для автосервисов и запрашивать инструменты и запчасти.
Эксперты также использовали эту учетную запись для входа в Github Mercedes-Benz, где хранилась внутренняя документация и исходный код для различных проектов компании, включая приложение Me Connect, используемое клиентами для удаленного подключения к своим автомобилям.
Также специалистам удалось проникнуть в канал связи Slack и выдать себя за сотрудника компании, который с помощью социальной инженерии мог повысить свои привилегии в инфраструктуре Mercedes-Benz.
Porsche и Toyota
Уязвимости в системах Porsche и Toyota позволяли:
- удаленно определять местоположение и отправлять команды автомобилям Porsche;
- узнать имя, номер телефона, адрес электронной почты и статус кредита клиентов Toyota Motor Credit.