По крайней мере, в трех мобильных приложениях, позволяющих водителям удаленно запускать или разблокировать свои автомобили, были обнаружены уязвимости в системе безопасности, которые могут позволить злоумышленникам, не прошедшим проверку подлинности, делать то же самое издалека. Исследователи говорят, что защита API-интерфейсов для этих типов мощных приложений — это следующий этап в предотвращении взлома подключенных автомобилей.

По данным Yuga Labs, автомобильные приложения от Hyundai и Genesis, а также платформа для умных автомобилей SiriusXM (используемая различными автопроизводителями, включая Acura, Honda, Nissan, Toyota и другие) могли позволить злоумышленникам перехватывать трафик между приложениями. и автомобили, выпущенные после 2012 года.

Приложения Hyundai позволяют дистанционно управлять автомобилем

Что касается приложений MyHyundai и MyGenesis, исследование вызовов API, которые делают приложения, показало, что проверка владельца выполняется путем сопоставления адреса электронной почты водителя с различными регистрационными параметрами. Поиграв с потенциальными способами подорвать эту «предполетную проверку», как ее назвали исследователи, они обнаружили способ атаки:

«Добавив символ CRLF в конце уже существующего адреса электронной почты жертвы во время регистрации, мы могли бы создать учетную запись, которая обошла бы проверку сравнения параметров электронной почты», — объяснили они в сообщении. серия твитов детализировать слабые места. Оттуда они смогли получить полный контроль над командами приложений и над автомобилем. Помимо запуска автомобиля, злоумышленники могли, среди прочего, включить звуковой сигнал, управлять кондиционером и открыть багажник.

Они также смогли автоматизировать атаку. «Мы взяли все запросы, необходимые для использования этого, и поместили их в скрипт Python, которому нужен был только адрес электронной почты жертвы», — написали они в Твиттере. «После ввода этого вы можете выполнять все команды на транспортном средстве и получать фактический аккаунт».

«Многие сценарии взлома автомобилей являются результатом проблемы с безопасностью API, а не проблемы с самим мобильным приложением», — говорит Скотт Герлах, соучредитель и директор по безопасности в StackHawk. «Все конфиденциальные данные и функции мобильного приложения находятся в API, с которым взаимодействует приложение, поэтому это то, что должно быть безопасным. Положительным моментом является то, что это очень целенаправленный тип атаки, и его будет сложно выполнить массово. Недостатком является то, что это все еще очень агрессивно для целевого владельца автомобиля».

По словам Герлаха, это открытие демонстрирует важность тестирования безопасности API.

«Тестирование API на наличие 10 основных уязвимостей OWASP, включая незащищенный прямой доступ к объектам и авторизацию неработающих функций, больше не является приятным шагом в жизненном цикле разработки программного обеспечения», — отмечает он. «То, как сегодня продаются подключенные автомобили… похоже на то, как клиент открывает банковский счет, а затем получает задание создать свой онлайн-доступ, основываясь только на номере счета. Любой мог найти эти данные без особых усилий и подвергнуть ваши активы риску, потому что процесс проверки не был продуман».

Взлом автомобилей с помощью SiriusXM

В то время как большинство людей знают SiriusXM как гиганта спутникового радио, компания также является поставщиком телеметрии для подключенных автомобилей, предоставляя 12 миллионам подключенных автомобилей такие функции, как дистанционный запуск, определение местоположения по GPS, дистанционное управление климатом и многое другое. Широкий круг автопроизводителей, в том числе Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru и Toyota, используют платформу подключенных автомобилей SiriusXM, согласно ее веб-сайту.

Исследователи Yuga изучили одно из мобильных приложений, на которых работает SiriusXM, приложение NissanConnect, и обнаружили, что если бы они знали идентификационный номер автомобиля цели (VIN, который виден через передние стекла большинства автомобилей), они могли бы отправлять поддельные HTTP-запросы на конечную точку и получить массу информации, включая имя водителя, номер телефона, адрес и сведения об автомобиле, которые можно использовать для выполнения удаленных команд в автомобиле через приложение.

Оттуда они создали еще один автоматизированный скрипт. «Мы сделали простой скрипт на Python для получения сведений о клиенте по любому VIN-номеру», — сказали они в сообщении. твит.

«Эта последняя уязвимость связана не со встроенными системами или производством, а скорее с самим веб-приложением», — сказал Dark Reading Коннор Ивенс, менеджер отдела конкурентной разведки по безопасности в Tanium. «Исследователи используют VIN-номера автомобилей в качестве первичного ключа идентификатора клиента и отправляют POST-запросы для создания токена-носителя. Это позволяет вам с административной точки зрения выдавать другие запросы на машину».

Очевидно, что безопасность мобильных приложений должна быть усилена. «Сама служба приложений — это почти второстепенная задача в процессе покупки», — говорит Герлах. «Производителям автомобилей необходимо более глубоко подумать о том, как лучше интегрировать подключенную услугу в процесс покупки и проверки для клиента».

Ожидайте столкновения с уязвимостями безопасности автомобиля

Yuga сообщила о недостатках как Hyundai, так и SiriusXM, которые оперативно выпустили исправления. Никаких атак в реальном мире не было, но исследователи сообщают Dark Reading, что такого рода обнаружение ошибок будет продолжать выходить на первый план, особенно по мере того, как транспортные средства становятся более связанными, а сложность бортового программного обеспечения и удаленных возможностей возрастает.

В то время как подключенные и автономные транспортные средства имеют расширенную поверхность атаки, аналогичную корпоративной среде, пострадавшие потребители не имеют целой команды кибербезопасности, работающей на них, говорит Карен Уолш, эксперт по соблюдению требований кибербезопасности и генеральный директор Allegro Solutions. Таким образом, автопроизводители должны работать лучше.

«Нравится это отрасли или нет, ей придется работать усерднее, чтобы обезопасить этот вектор атаки. Это также ляжет гораздо большим бременем на отрасль с точки зрения цепочки поставок. Необходимо обеспечить безопасность не только транспортных средств, но и всех дополнительных технологий — в данном случае информационно-развлекательных, таких как SiriusXM, — которые должны быть включены в любую инициативу по обеспечению безопасности».

Эволюция после демонстрации взлома Jeep

Мы также можем увидеть всплеск поиска таких недостатков. С печально известного 2015/2016 гг. Демонстрации взлома джипов от Чарли Миллера и Криса Валасека из Black Hat USA выявили потенциальные физические уязвимости в подключенных автомобилях, область автомобильного хакерства взорвалась.

«Демонстрация взлома Jeep включала взлом сотовых модемов (в результате чего сотовые компании отключили некоторые ключевые функции)», — говорит Джон Бамбенек, главный охотник за угрозами в Netenrich. «Веб-приложения имеют свои собственные проблемы безопасности, отличные от этого пути коммуникации. Мне не нужно владеть всем коммуникационным стеком, мне просто нужно найти слабое место, и исследователи продолжают его находить. Реальность такова, что все это собрано с помощью бракованной изоленты и проволочного троса… так было всегда».

Майк Паркин, старший технический инженер Vulcan Cyber, говорит, что мобильность — это следующий рубеж.

«Это было достаточно сложно, когда злоумышленники просто атаковали брелоки с удаленным радиусом действия и ограниченными возможностями», — рассказывает он Dark Reading. «Теперь, когда автомобили являются не только транспортным средством, но и мобильной вычислительной платформой, задача будет только усложняться».

Он добавляет: «Если злоумышленник сможет скомпрометировать мобильное устройство, он потенциально сможет контролировать многие приложения на нем, включая пользовательское приложение для управления транспортным средством. Каналы управления между мобильным устройством пользователя, облачными сервисами производителя и самим транспортным средством — еще одна угроза, которую могут использовать злоумышленники».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/application-security/siriusxm-myhyundai-car-apps-showcase-next-gen-car-hacking