Biztonsági kutatók tizenhat autógyártó járműveiben fedezetek fel kisebb-nagyobb sérülékenységeket. Olyan hibákra is bukkantak, melyeken keresztül átvehették az autó funkcióinak vezérlését, például távolról leállították vagy beindították a motort. Hozzáfértek autógyártók olyan belső alkalmazásaihoz és rendszereihez, amikben például az ügyfelek és alkalmazottak személyes adatait tárolták, átvettek felhasználói fiókokat stb., írta beszámolójában a Securityweek. A kutatók elsősorban a telematikai rendszerek, az API-k és a mögöttük lévő infrastruktúra környékén kutakodtak.

Vizsgálatuk jól összegzi, hogy milyen veszélyekkel jár a "connected car" koncepció, és akkor még hol vagyunk a teljes önvezetéstől! De az már legalább nyilvánvaló (ismét!), hogy a gyártó támadható az autója felől és viszont. Az autótulajdonos pedig reménykedhet... (A connected car azt a kérdést is felveti, hogy mennyiben tulajdonosa valaki annak a járműnek, amit súlyos pénzekért megvett.)

A megtört rendszerek listája impozáns: Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls-Royce, Toyota. A tavaly lefolytatott kutatás eredményeit egy a projektben részt vevő biztonsági kutató, Sam Curry tette közzé a blogján, miután az autógyártókat tájékoztatták, és azok javították a hibákat.

A digitalizáció láthatatlanná teszi a fenyegetést

A kutatók több rendszeren tudtak végrehajtani távoli kódfuttatást, és az is elég általános volt, hogy az ügyfelek és az alkalmazottak személyes azonosítására alkalmas, ún. PII (Personally Identifiable Information) adatokhoz fértek hozzá. Érdemes azonban néhány hibát tételesen is végigvenni.

A kutatók képesek voltak parancsokat küldeni tudtak küldeni az Acura, Genesis, Honda, Hyundai, Kia, Infiniti, Nissan és Porsche modelleknek.

Sok modell szélvédőjén feltüntetik az alvázszámot (Vehicle Identification Number, VIN). Ezt felhasználva több gyártó modelljeit (Acura, Honda, Kia, Infiniti és Nissan) képesek voltak távolról nyitni-zárni, elindítani és leállítani a motort, villogtatni a fényszórókat, beindítani a dudát, továbbá lekérdezni az autók pontos helyét. A Kia-modellekben távolról átvették az autók 360 fokos kameráját, és így élőben követhették az autó útját.

Több járműnél hozzáfértek az autóhoz kapcsolódó ügyfélfiókhoz, az abban tárolt személyes adatokhoz (név, telefonszám, cím, email). Ezeknek az információknak a birtokában ki tudták zárni az autó tulajdonosát saját járművéből, sőt meg tudták változtatni az autó tulajdonosát is. A Genesis és Hyundai modelljeinél mindehhez elég volt az autó regisztrált tulajdonosának az emailje.

Még az olyan luxusmárkákban is súlyos biztonsági réseket találtak, mint a Porsche, a Ferrari vagy a Mercedes. A Porsche telematikai rendszerének hibáját kihasználva például le tudták kérdezni az autó helyét és a tulajdonos adatait, valamint parancsokat tudtak küldeni a járműnek.

A Ferrariknál külső interakció nélkül át tudták venni bármely ügyfélfiók felügyeletét, egy IDOR-hiba (Insecure Direct Object Reference) miatt pedig hozzáfértek a Ferrari teljes ügyfélnyilvántartásához. De a torinói gyártónál ennél triviálisabb problémát is találtak: a hozzáférés-szabályozás hiányosságait kihasználva lehetett létrehozni és törölni adminisztrátori felhasználói fiókokat, valamint minden olyan felhasználói fiókot, amelynek volt jogosultsága, hogy a CMS-rendszeren keresztül módosítsa a Ferrari weboldalait.

A Mercedesnél egy helytelenül konfigurált SSO (single sign on) portálon (ami a szervizeknek készült) keresztül hozzáfértek több száz üzletkritikus alkalmazáshoz, a vállalatnál használt belső csetprogramhoz, szerverekhez, járművekkel kapcsolatos API-khoz stb.

De az SSO-rendszer a BMW-nél és a Rolls-Royce-nál sem volt rendben. Olyan belső rendszerek elérését tette lehetővé távolról, amelyeken keresztül a kutatók például lekérdezhették az alvázszámokat, hogy azok ismeretében hozzáférjenek az autók értékesítési dokumentumaihoz.

Érdemes végigbogarászni Sam Curry teljes írását, tanulságos.