• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Уязвимости в системах BMW, Mercedes и Ferrari позволяют удаленно управлять автомобилем

PAINNOMORE

Участник
Сообщения
311
Реакции
24
0 руб.
По словам исследователей кибербезопасности, уязвимости в телематических системах миллионов автомобилей популярных марок могут позволить злоумышленникам полностью захватить автомобиль.

Ошибки затрагивают Mercedes-Benz, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar и Land Rover, а также компанию по управлению автопарком Spireon.

Компании Spireon принадлежат несколько брендов GPS-отслеживания транспортных средств и управления автопарком, охватывающих 15 млн. подключенных автомобилей. Самые опасные ошибки содержались в системах Spireon и включали в себя:

  • несколько уязвимостей, позволяющих внедрять SQL-инъекции;
  • RCE-уязвимости обхода аутентификации, которые позволяли полностью контролировать любое транспортное средство.
По словам аналитиков, с помощью этих недостатков можно было получить полный доступ к панели администрирования всей компании Spireon, а затем отправлять произвольные команды всем 15 млн. автомобилям – открывать двери, активировать гудок, запускать двигатель и отключать стартеры.

Опасность заключается в том, что злоумышленник мог отслеживать и отключать стартеры автомобилей экстренных служб, полиции, скорой помощи и правоохранительных органов в крупных городах.


Ferrari

В системах Ferrari были обнаружены элементы управления доступом, которые открыли доступ к JavaScript-коду для нескольких внутренних приложений. Код содержал API-ключи и учетные данные, которые могли позволить злоумышленнику захватить (или удалить) их учетные записи. Кроме того, с помощью POST-запроса можно было установить права суперпользователя или стать владельцем Ferrari.

Отсутствие контроля доступа также могло позволить киберпреступнику создавать и удалять учетные записи администраторов бэк-офиса сотрудников, а затем изменять веб-сайты, принадлежащие Ferrari, включая ее CMS-систему.


BMW и Rolls-Royce

Неправильно настроенная система единого входа (Single sign-on, SSO) для всех сотрудников и клиентов BMW и Rolls-Royce позволяла хакеру получить доступ к внутреннему дилерскому порталу, запросить VIN-номер и получить все документы о продаже автомобиля.


Mercedes-Benz

Используя неправильно настроенную SSO-систему в Mercedes-Benz можно было создать учетную запись пользователя на сайте для автосервисов и запрашивать инструменты и запчасти.

Эксперты также использовали эту учетную запись для входа в Github Mercedes-Benz, где хранилась внутренняя документация и исходный код для различных проектов компании, включая приложение Me Connect, используемое клиентами для удаленного подключения к своим автомобилям.

Также специалистам удалось проникнуть в канал связи Slack и выдать себя за сотрудника компании, который с помощью социальной инженерии мог повысить свои привилегии в инфраструктуре Mercedes-Benz.


Porsche и Toyota
Уязвимости в системах Porsche и Toyota позволяли:

  • удаленно определять местоположение и отправлять команды автомобилям Porsche;
  • узнать имя, номер телефона, адрес электронной почты и статус кредита клиентов Toyota Motor Credit.
Недостатки обнаружил исследователь кибербезопасности Сэм Карри из Yuga Labs и сообщил о них автопроизводителям. На данный момент все недостатки исправлены.
 
Сверху Снизу