Хакеры выявили массу уязвимостей у современных автомобилей

Автопроизводители активно используют электронику в своих новых моделях. Но, как показывает исследование охотника за ошибками и штатного инженера по безопасности Yuga Labs Сэма Карри, в электронных системах есть масса уязвимостей, которые позволяют отслеживать и даже контролировать некоторые автомобили, включая машины экстренных служб.

Если вы приобретали новый автомобиль в последние несколько лет, то велика вероятность, что в нем есть хотя бы один встроенный модем, который нужен для разных полезных функций вроде удалённого прогрева автомобиля, самодиагностики, которая предупреждает о сбоях до того, как они произойдут, и всевозможных опций безопасности. Вот в них и кроется опасность.

С чего всё началось?

Сама проблема не нова. Её активно обсуждали после но печально известного инцидента со взломом Jeep в 2015 году, когда пара исследователей доказала, что они могут удаленно отключить Jeep Cherokee во время движения через эксплойт в информационно-развлекательной системе внедорожника. И вот — новая история.

Карри решил исследовать потенциальные дыры в цифровой инфраструктуре автомобильной промышленности после того, как поигрался с приложением для электровелосипеда и обнаружил, что он может сигналить и включать и фары на всём автопарке. Сообщив об уязвимости производителю скутеров, Карри с коллегами обратили внимание на более крупные автомобили.

После мозгового штурма команда поняла, что почти каждый автомобиль, выпущенный за последние пять лет, имеет практически одинаковую функциональность. Если бы злоумышленник смог найти уязвимости в конечных точках API, которые использовались системами телематики транспортных средств, он мог бы подавать звуковой сигнал, мигать фарами, удалённо отслеживать, блокировать/разблокировать и запускать/глушить транспортные средства.

В продуктах 16 крупных производителей автомобилей и трёх поставщиков автомобильных технологий исследователи обнаружили проблемы, которые могли привести к захвату учетных записей, удаленному выполнению кода, не говоря уже о выполнении команд, ведущих к физическому управлению транспортным средством. Некоторые уязвимости также могут позволить кражу информации, приводя хакера прямо к личной информации пользователя автомобиля (PII), хранящейся в автомобильном приложении.

Слабым звеном в данном случае является компания Spireon Systems, которая контролирует данные GPU и прочую телематику для нескольких миллионов автомобилей, в том числе полицейских авто и машин служб спасения в США.

У Spireon, которая предоставляет такие услуги, как LoJack, было несколько дыр в безопасности, которые позволили хакерам получить «полный доступ администратора к общекорпоративной панели управления с возможностью отправлять произвольные команды примерно 15,5 миллионам автомобилей. (разблокировка, запуск двигателя, отключение стартера и т. д.), считывание любого местоположения устройства и прошивка/обновление прошивки устройства». В качестве доказательства концепции Карри и его коллеги «пригласили себя в случайную учётную запись автопарка и увидели, что получили приглашение управлять полицейским управлением США, где мы можно было отслеживать весь автопарк полиции».

Где и какие уязвимости обнаружены?

Вооружившись только идентификационным номером автомобиля, хакеры смогли получить доступ к удалённым службам для автомобилей Acura, Honda, Infiniti, Kia и Nissan, в том числе сумели найти и разблокировать автомобили, запустить или остановить двигатели или посигналить. Также можно было получить доступ к учётной записи пользователя с помощью VIN-номера, а в случае Kia исследователи смогли получить доступ к камерам парковки в реальном времени на автомобиле.

Автомобили Genesis и Hyundai также можно было использовать, хотя здесь требовался адрес электронной почты владельца, а не VIN. Автомобили Porsche также были подвержены уязвимости, которая позволяла Карри определять местонахождение автомобиля и отправлять ему команды.

Цифровые номерные знаки, недавно одобренные для использования в Калифорнии, — вполне себе вектор атаки. Карри обнаружил, что может получить доступ суперадминистратора и управлять всеми учётными записями пользователей и устройствами, включая отслеживание автомобилей и изменение сообщений, отображаемых на номерных знаках с электронными чернилами.

Наконец, просочившиеся ключи Amazon Web Services дали хакерам доступ к провайдеру спутникового радио Sirius XM с «возможностью получить все файлы, включая (как оказалось) пользовательские базы данных, исходный код и файлы конфигурации».

Марки авто и найденные проблемы

Керри также поделился данными о том, у каких производителей какие проблемы с безопасностью имеют место на данный момент.

Kia, Honda, Infiniti, Nissan, Acura

• Блокировка/разблокировка, запуск/остановка двигателя, точное определение местоположения, мигание фарами и подача сигнала — удалённо, при помощи только VIN-номера.
• Захват учетной записи и компрометация персональных данных удалённо, при помощи VIN.
• Возможность запретить пользователю удалённо управлять своей машиной, сменить владельца.
• Для Kia — удалённый доступ к камере обзора.

Mercedes-Benz:

• Доступ к сотням критически важных внутренних приложений через неправильно настроенную систему единого входа. Исследователи получили доступ в том числе к экземплярам Github, внутреннему чат компании, возможность присоединиться практически к любому каналу, внутренние сервисы облачного развертывания для управления отдельными хостами, внутренние API, связанные с транспортным средством.
• Удаленное выполнение кода на некоторых системах
• Утечки памяти, приводящие к раскрытию личных данных сотрудников/клиентов, доступ к учётной записи.

Hyundai, Genesis:

• Блокировка/разблокировка, запуск/остановка двигателя, точное определение местоположения, мигание фарами и подача сигнала — удалённо, при помощи только электронной почты жертвы.
• Захват учетной записи и компрометация персональных данных удалённо, при помощи электронной почты жертвы.
• Возможность запретить пользователю удалённо управлять своей машиной, сменить владельца.

BMW, Rolls Royce:

• Доступ к любому приложению от имени любого сотрудника позволили получить доступ к внутренним дилерским порталам. Там можно запросить любой VIN-номер, чтобы получить документы о продаже BMW.
• Также можно получить доступ к любому приложению, заблокированному с помощью системы единого входа, от имени любого сотрудника, включая приложения, используемые удалёнными работниками и дилерскими центрами.

Ferrari:

• Полный захват любой учётной записи клиента Ferrari.
• IDOR для доступа ко всем записям клиентов Ferrari.
• Отсутствие контроля доступа позволяет создавать, изменять, удалять учётные записи администраторов «бэк-офиса» сотрудников и все учётные записи пользователей с возможностью изменять веб-страницы, принадлежащие Ferrari, через систему CMS.
• Возможность добавлять HTTP-маршруты на api.ferrari.com (rest-connectors) и просматривать все существующие rest-connectors и связанные с ними секреты (заголовки авторизации)

Ford:

• Доступ к памяти серийного автомобиля Telematics API раскрывает персональные данные жертвы и токены доступа для отслеживания и выполнения команд на автомобиле.
• Доступ к учётным данным конфигураций, используемые для внутренних служб, связанных с телематическими сервисами.
• Возможность пройти аутентификацию в учётной записи клиента и получить доступ ко всей личной информации и выполнять действия в отношении автомобиля.
• Полный доступ к учётной записи жертвы, включая личный кабинет автомобиля.

Toyota:

• IDOR на Toyota Financial, который раскрывает имя, номер телефона, адрес электронной почты и кредитный статус любых финансовых клиентов Toyota.