Aplikacja dla samochodów Hyundai źródłem problemów
Badacze bezpieczeństwa z Yuga Labs wykryli luki bezpieczeństwa na platformie SiriusXM rozwijanej z myślą o nowoczesnych samochodach produkowanych przez producentów i korporacje takie jak Hyundai, Genesis, Fiat Chrysler Automobiles, Toyota, Honda, Nissan, Acura i Infinity. Apka pozwalała zdalnie odblokować, uruchomić, zlokalizować, a nawet użyć klaksonu i świateł w samochodach marek Hyundai i Genesis.
Badacze nie opublikowali szczegółowych technicznych opisów swoich odkryć, ale udostępnili pewne informacje na Twitterze.
We recently found a vulnerability affecting Hyundai and Genesis vehicles where we could remotely control the locks, engine, horn, headlights, and trunk of vehicles made after 2012.
To explain how it worked and how we found it, we have @_specters_ as our mock car thief: pic.twitter.com/WWyY6vFoAF
— Sam Curry (@samwcyo) November 29, 2022
Aplikacje mobilne MyHyundai i MyGenesis umożliwiają uwierzytelnionym użytkownikom uruchamianie, zatrzymywanie, blokowanie i odblokowywanie pojazdów. Po przechwyceniu ruchu generowanego z obu aplikacji badacze przeanalizowali go i wyodrębnili wywołania API w celu dalszego zbadania. Odkryli, że weryfikacja właściciela odbywa się wyłącznie na podstawie adresu e-mail użytkownika, który jest zawarty w treści JSON żądań POST.
More car hacking!
Earlier this year, we were able to remotely unlock, start, locate, flash, and honk any remotely connected Honda, Nissan, Infiniti, and Acura vehicles, completely unauthorized, knowing only the VIN number of the car.
Here’s how we found it, and how it works: pic.twitter.com/ul3A4sT47k
— Sam Curry (@samwcyo) November 30, 2022
Analitycy ze zdumieniem zauważyli, że MyHyundai nie wymaga potwierdzenia rejestracji e-mailem. Utworzyli więc nowe konto, używając adresu e-mail celu z dodatkowym znakiem kontrolnym na końcu. Wreszcie, wysłali żądanie HTTP do endpointu Hyundai, zawierające sfałszowany adres w tokenie JSON i adres ofiary w treści JSON, z pominięciem kontroli poprawności.
Aby sprawdzić, czy mogą wykorzystać przechwycone informacje do przeprowadzenia ataku, spróbowali odblokować auto marki Hyundai. Po kilku sekundach samochód został odblokowany. Wieloetapową procedurę uproszczono w końcu do postaci autorskiego skryptu Python, który wymagał jedynie adresu e-mail ofiary w celu podjęcia w 100% skutecznego ataku.
Since exploiting this involved many steps, we took all of the requests necessary to exploit this and put it into a python script which only needed the victim’s email address. After inputting this, you could then execute all commands on the vehicle and takeover the actual account. pic.twitter.com/Bz5G5ZvHro
— Sam Curry (@samwcyo) November 29, 2022
Problem jest nawet bardziej złożony
Sam Curry w komentarzu dla BleepingComputer wyjaśnił, co da się zrobić za pomocą poleń wysyłanych przez platformę SiriusXM. W przypadku każdej marki samochodu (wykorzystującej SiriusXM) wyprodukowanej po 2015 roku badacz mogli zdalnie śledzić, blokować/odblokowywać, uruchamiać/zatrzymywać, trąbić lub migać reflektorami po prostu znając numer VIN pojazdu.
Numer VIN przeważnie łatwo jest odczytać z tabliczki znamionowej widocznej spod przedniej szyby pojazdu…
Hyundai uspokaja
Hyundai zapewnił, że w wyniku podatności, których temat podjęli badacze, nie uzyskano do tej pory dostępu do pojazdów ani kont klientów marki.
„Aby wykorzystać rzekomą lukę, wymagana była znajomość adresu e-mail powiązanego z konkretnym kontem i pojazdem Hyundai, a także konkretnego skryptu internetowego zastosowanego przez badaczy” – dowiedzieliśmy się.
Mimo tego Hyundai podjął już działania w celu zneutralizowania podatności.
Źródło: Twitter