Autot integroivat enemmän digitaalitekniikkaa nopeammin kuin koskaan, mutta tämä lisää myös turvallisuusuhkien riskiä infotainment -hyödyntämisestä avaimattomiin hyökkäyksiin. On harvinaisia tapauksia, joissa autonvalmistaja itse asettaa asiakkaidensa ja kuljettajansa vaaraan turvallisuuden raukeamisen kautta. Samanlainen tapaus on nyt tapahtunut yhden autonvalmistajan kanssa, mikä mahdollisesti paljastaa miljoonia kaappausriskiin.
Turvallisuustutkija Eaton Zveare on jakanut havainnon TechCrunchin kanssa, joka paljasti vakavat haavoittuvuudet nimeämättömän suuren autonvalmistajan keskitetyssä jälleenmyyjän verkkoportaalissa. Virheet paljastivat arkaluontoiset asiakas- ja ajoneuvotiedot ja olisivat voineet antaa hakkereille mahdollisuuden suorittaa pahoja toimia, kuten ei -toivottua kaukosäädintä ja kaappaamista.
- Mielenkiintoista myös: Käännä autosi CarPlay ja Android Auto Infotainment langattomasti Ottocastin avulla
Portaalivirhe antaa hakkerit kaapata autoja etäyhteyden kautta
On yksityiskohtaista, että “kahteen heikkoon API-todennukseen” liittyvät suojausvirheet antoivat Zvearelle mahdollisuuden ohittaa sisäänkirjautumisturvallisuusverkkoturvallisuuden ja luoda rajoittamaton kansallisen tason järjestelmänvalvojan tili muokkaamalla jotakin selaimen ladatun koodin ilman, että tarvitset voimassa olevia lupauksia.
Myöhemmin tämä myönsi luodun tilin pääsyn yli 1 000 jälleenmyyjäjärjestelmään Yhdysvalloissa. Jälleenmyyjäportaalin on ilmoitettu olevan sama foorumi, jonka työntekijöiden ja osakkuusyritysten on lupa käyttää asiakkaiden ja ajoneuvojen tietojen tarkastelua varten. Pahempaa on, että portaalin yksittäinen kirjautuminen voisi antaa käyttäjille mahdollisuuden hypätä eri jälleenmyyjäjärjestelmien välillä.
Kun pääsy oli saavutettu, Zveare sanoi, että rajoittamattomalla tilillä oli erittäin helppoa etsiä asiakkaan nimeä ja sovittaa ne ajoneuvon tietoihin sisäisen työkalun kautta. Samoin oli mahdollista tarkistaa auto parkkipaikalla ja etsiä sen omistajaa.
Huolestuttakaa kuitenkin, että ajoneuvot, joilla on kytketty matkapuhelintili, aiheuttavat suuremman hyökkäysten ja kaappausten riskin. Zveare kertoi myyntipisteelle, että järjestelmänvalvojat voivat hallita tai siirtää käyttäjätilejä ilman tietoturvatodennusta.
Hän osoitti, kuinka hyväksikäyttö voisi toimia reaalimaailman skenaariossa. Ystävän luvalla, jolla on ajoneuvo portaalissa, tutkija pystyi hallitsemaan sitä etäyhteyden, esimerkiksi avaamalla auton mobiilisovelluksen kautta. Tällä on vakavia vaikutuksia järjestäytyneen carjackingin ja varkauden tapauksissa.
Suuri tietoturvavirhe korjattiin
Zveare ei paljastanut, mikä autonvalmistaja tämä oli. Sen sanotaan kuitenkin olevan tunnettu myyjä, jolla on useita alamerkkejä. Ei myöskään tiedetä, vaikuttavatko turvallisuusvirheet tämän autonvalmistajan vertailukelpoisiin portaaleihin Yhdysvaltojen ulkopuolella, vaikka ulkomailla tytäryhtiöissä saattaa olla potentiaalisia aukkoja.
Kiaan vaikutti samanlainen järjestelmävirhe vuonna 2024, joka antoi hyökkääjille mahdollisuuden hallita ajoneuvoja rekisterikilpillä. / © Jonathan Weiss / Shutterstock.com
Lisäksi Zveare totesi, että tämä löytö ilmoitettiin myyjälle helmikuussa ja että virheet korjattiin viikon kuluessa. Vaikka aikaisemmasta hyväksikäytöstä luonnossa ei ollut todisteita, tämä oli silti erittäin huolestuttavaa.
Tämä ei ole ainoa tapaus, jossa autonvalmistaja oli syy suuriin turvallisuushaavoittuvuuksiin. Viime vuonna tutkijat käyttivät KIA: n jälleenmyyjäportaalia hallitakseen ajoneuvoja rekisterikilvenumeroiden avulla. Samaan aikaan Volkswagenin ilmoitettiin paljastaneen yli 800 000 EV: n omistajan henkilötiedot.
Mitä suojatoimenpiteitä voit ehdottaa tapauksessasi tietojen ja ajoneuvosi suojaamiseksi hakkeroimalta? Pitäisikö meidän todella luottaa näihin yrityksiin tietojemme kanssa? Haluamme kuulla vastauksesi kommenteissa.
Lähde:
TechCrunch
