Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

SiriusXM et MyHyundai Car Apps présentent le piratage automobile de nouvelle génération

Republié par Platon
Republié par Platon

Date :

Vues: 363

Au moins trois applications mobiles conçues pour permettre aux conducteurs de démarrer ou de déverrouiller leurs véhicules à distance se sont avérées présenter des vulnérabilités de sécurité qui pourraient permettre à des types malveillants non authentifiés de faire de même à distance. Les chercheurs affirment que la sécurisation des API pour ces types d'applications puissantes est la prochaine étape dans la prévention du piratage des voitures connectées.

Selon Yuga Labs, les applications spécifiques aux voitures de Hyundai et Genesis, ainsi que la plate-forme de véhicules intelligents SiriusXM (utilisée par divers constructeurs automobiles, dont Acura, Honda, Nissan, Toyota et autres), auraient pu permettre aux attaquants d'intercepter le trafic entre les applications. et les véhicules fabriqués après 2012.

Les applications Hyundai permettent le contrôle à distance de la voiture

En ce qui concerne les applications MyHyundai et MyGenesis, une enquête sur les appels d'API effectués par les applications a montré que la validation du propriétaire se fait en faisant correspondre l'adresse e-mail du conducteur avec divers paramètres d'enregistrement. Après avoir joué avec les moyens potentiels de subvertir cette « vérification avant le vol », comme les chercheurs l'ont appelée, ils ont découvert une avenue d'attaque :

"En ajoutant un caractère CRLF à la fin d'une adresse e-mail de victime déjà existante lors de l'inscription, nous pourrions créer un compte qui contournait la vérification de comparaison des paramètres d'e-mail", ont-ils expliqué dans un série de tweets détaillant les points faibles. À partir de là, ils ont pu obtenir un contrôle total sur les commandes des applications - et sur la voiture. En plus de démarrer la voiture, les attaquants pourraient déclencher le klaxon, contrôler la climatisation et ouvrir le coffre, entre autres.

Ils ont également pu automatiser l'attaque. "Nous avons pris toutes les demandes nécessaires pour exploiter cela et les avons mises dans un script python qui n'avait besoin que de l'adresse e-mail de la victime", ont-ils tweeté. "Après avoir saisi cela, vous pouvez alors exécuter toutes les commandes sur le véhicule et prendre le contrôle du compte réel."

"De nombreux scénarios de piratage de voitures sont le résultat d'un problème de sécurité de l'API, et non d'un problème avec l'application mobile elle-même", a déclaré Scott Gerlach, co-fondateur et CSO chez StackHawk. "Toutes les données et fonctions sensibles d'une application mobile résident dans l'API avec laquelle une application communique, c'est donc ce qui doit être sécurisé. L'avantage est qu'il s'agit d'un type d'attaque très ciblé et qu'il serait difficile de l'exécuter en masse. L'inconvénient est qu'il est toujours très invasif pour le propriétaire de la voiture ciblée.

La découverte met en évidence la criticité des tests de sécurité des API, déclare Gerlach.

"Tester les API pour les 10 principales vulnérabilités de l'OWASP, y compris l'accès direct aux objets non sécurisé et l'autorisation de fonction interrompue, n'est plus une étape agréable dans le cycle de vie du développement logiciel", note-t-il. « La façon dont les voitures connectées sont vendues aujourd'hui… est similaire à un client qui ouvre un compte bancaire et qui est ensuite chargé de créer son accès en ligne sur la base du seul numéro de compte. N'importe qui pourrait trouver ces données avec peu d'effort et mettre vos actifs en danger car le processus de vérification n'a pas été réfléchi.

Piratage de voiture basé sur SiriusXM

Alors que la plupart des gens connaissent SiriusXM comme un mastodonte de la radio par satellite, la société est également un fournisseur de télémétrie pour véhicules connectés, fournissant à 12 millions de voitures connectées des fonctions telles que le démarrage à distance, la localisation GPS, les commandes de climatisation à distance, etc. Un large éventail de constructeurs automobiles, dont Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru et Toyota, utilisent tous la plate-forme de voiture connectée SiriusXM, selon son site Web.

Les chercheurs de Yuga ont examiné l'une des applications mobiles alimentées par SiriusXM, l'application NissanConnect, et ont découvert que s'ils connaissaient le numéro d'identification du véhicule d'une cible (VIN, visible à travers le pare-brise de la plupart des voitures), ils pouvaient envoyer des requêtes HTTP falsifiées au point de terminaison et récupérez une foule d'informations, y compris le nom, le numéro de téléphone, l'adresse et les détails du véhicule d'un conducteur qui pourraient être utilisés pour exécuter des commandes à distance sur la voiture via l'application.

À partir de là, ils ont créé un autre script automatisé. "Nous avons créé un simple script Python pour récupérer les détails du client de n'importe quel numéro VIN", ont-ils déclaré dans un fil de tweet.

"Cette dernière vulnérabilité ne concerne pas les systèmes embarqués ou la fabrication, mais plutôt l'application Web elle-même", a déclaré Connor Ivens, responsable de la veille concurrentielle pour la sécurité chez Tanium, à Dark Reading. "Les chercheurs utilisent les numéros VIN de la voiture comme clé primaire d'identification du client et envoient des requêtes POST pour générer un jeton porteur. Cela vous permet un contrôle administratif pour émettre d'autres demandes sur la voiture.

Il est clair que la sécurité des applications mobiles doit être renforcée. "Le service d'application lui-même est presque une réflexion après coup dans le processus d'achat", déclare Gerlach. "Les constructeurs automobiles doivent réfléchir plus profondément à la manière de mieux intégrer le service connecté dans le processus d'achat et de validation pour le client."

Attendez-vous à tomber en panne dans les vulnérabilités de la sécurité des voitures

Yuga a révélé les failles à Hyundai et à SiriusXM, qui ont rapidement publié des correctifs. Aucune attaque dans le monde réel ne s'est produite, mais les chercheurs disent à Dark Reading que ce type de découvertes de bogues continuera d'apparaître, d'autant plus que les véhicules deviennent plus connectés et que la complexité des logiciels embarqués et des capacités à distance augmente.

Alors que les véhicules connectés et autonomes ont une surface d'attaque étendue similaire aux environnements d'entreprise, les consommateurs concernés n'ont pas toute une équipe de cybersécurité travaillant pour eux, déclare Karen Walsh, experte en conformité en matière de cybersécurité et PDG d'Allegro Solutions. Il incombe donc aux constructeurs automobiles de faire mieux.

"Que l'industrie le veuille ou non, elle devra travailler plus dur pour sécuriser ce vecteur d'attaque. Cela imposera également un fardeau beaucoup plus lourd à l'industrie du point de vue de la chaîne d'approvisionnement. Ce ne sont pas seulement les véhicules qui doivent être sécurisés, mais toutes les technologies supplémentaires - dans ce cas l'infodivertissement comme SiriusXM - qui doivent être incluses dans toute initiative de sécurité.

Évoluer au-delà de la démo de piratage de Jeep

Nous pouvons également constater une augmentation de la recherche de tels défauts. Depuis la tristement célèbre 2015/2016 Démonstrations de piratage de Jeep de Charlie Miller et Chris Valasek de Black Hat USA ont mis en lumière les vulnérabilités physiques potentielles des voitures connectées, le domaine du piratage automobile a explosé.

"La démonstration de piratage de Jeep impliquait le piratage de modems cellulaires (et les sociétés de téléphonie mobile ont par conséquent désactivé certaines fonctionnalités clés)", explique John Bambenek, principal chasseur de menaces chez Netenrich. "Les applications Web ont leurs propres problèmes de sécurité distincts de ce chemin de communication. Je n'ai pas à posséder toute la pile de communication, j'ai juste besoin de trouver un point faible et les chercheurs continuent de les trouver. La réalité est que tout est assemblé avec du ruban adhésif et du fil de fer défectueux… ça l'a toujours été.

Mike Parkin, ingénieur technique senior chez Vulcan Cyber, déclare que le mobile est la prochaine frontière.

"C'était déjà assez difficile lorsque les acteurs de la menace attaquaient simplement des porte-clés avec une portée à distance et des capacités limitées", a-t-il déclaré à Dark Reading. "Maintenant, les voitures étant autant une plate-forme informatique mobile qu'un véhicule, cela ne fera que devenir plus difficile."

Il ajoute : « Si un attaquant peut compromettre un appareil mobile, il pourrait potentiellement contrôler de nombreuses applications sur celui-ci, y compris l'application de contrôle du véhicule d'un utilisateur. Les canaux de contrôle entre l'appareil mobile d'un utilisateur, les services cloud du fabricant et le véhicule lui-même sont une autre surface d'attaque que les acteurs de la menace pourraient exploiter. »

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.

Discutez avec nous

Salut! Comment puis-je t'aider?