• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Уязвимости в системах BMW, Mercedes и Ferrari позволяют удаленно управлять автомобилем

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

По словам исследователей кибербезопасности, уязвимости в телематических системах миллионов автомобилей популярных марок могут позволить злоумышленникам полностью захватить автомобиль.

Ошибки затрагивают Mercedes-Benz, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar и Land Rover, а также компанию по управлению автопарком Spireon.

Компании Spireon принадлежат несколько брендов GPS-отслеживания транспортных средств и управления автопарком, охватывающих 15 млн. подключенных автомобилей. Самые опасные ошибки содержались в системах Spireon и включали в себя:
  • несколько уязвимостей, позволяющих внедрять SQL-инъекции;
  • RCE-уязвимости обхода аутентификации, которые позволяли полностью контролировать любое транспортное средство.
По словам аналитиков, с помощью этих недостатков можно было получить полный доступ к панели администрирования всей компании Spireon, а затем отправлять произвольные команды всем 15 млн. автомобилям – открывать двери, активировать гудок, запускать двигатель и отключать стартеры.

Опасность заключается в том, что злоумышленник мог отслеживать и отключать стартеры автомобилей экстренных служб, полиции, скорой помощи и правоохранительных органов в крупных городах.

Ferrari

В системах Ferrari были обнаружены элементы управления доступом, которые открыли доступ к JavaScript-коду для нескольких внутренних приложений. Код содержал API-ключи и учетные данные, которые могли позволить злоумышленнику захватить (или удалить) их учетные записи. Кроме того, с помощью POST-запроса можно было установить права суперпользователя или стать владельцем Ferrari.

Отсутствие контроля доступа также могло позволить киберпреступнику создавать и удалять учетные записи администраторов бэк-офиса сотрудников, а затем изменять веб-сайты, принадлежащие Ferrari, включая ее CMS-систему.

BMW и Rolls-Royce

Неправильно настроенная система единого входа (Single sign-on, SSO) для всех сотрудников и клиентов BMW и Rolls-Royce позволяла хакеру получить доступ к внутреннему дилерскому порталу, запросить VIN-номер и получить все документы о продаже автомобиля.

Mercedes-Benz

Используя неправильно настроенную SSO-систему в Mercedes-Benz можно было создать учетную запись пользователя на сайте для автосервисов и запрашивать инструменты и запчасти.

Эксперты также использовали эту учетную запись для входа в Github Mercedes-Benz, где хранилась внутренняя документация и исходный код для различных проектов компании, включая приложение Me Connect, используемое клиентами для удаленного подключения к своим автомобилям.

Также специалистам удалось проникнуть в канал связи Slack и выдать себя за сотрудника компании, который с помощью социальной инженерии мог повысить свои привилегии в инфраструктуре Mercedes-Benz.

Porsche и Toyota
Уязвимости в системах Porsche и Toyota позволяли:
  • удаленно определять местоположение и отправлять команды автомобилям Porsche;
  • узнать имя, номер телефона, адрес электронной почты и статус кредита клиентов Toyota Motor Credit.
Недостатки обнаружил исследователь кибербезопасности Сэм Карри из Yuga Labs и сообщил о них автопроизводителям. На данный момент все недостатки исправлены.
 
Последнее редактирование:
Сверху