Пропуски в сигурността в уеб портала на голям производител на автомобили позволяват на хакерите дистанционно да отключват колите практически отвсякъде.
Изследовател по сигурността заяви пред TechCrunch, че недостатъци в онлайн портала за дилъри на автомобилен производител разкриват лична информация и данни за превозните средства на клиентите му. Това позволява на хакери дистанционно да проникнат в автомобилите.
Итън Звеаре, който работи като изследовател по сигурността в компанията за софтуер Harness, казва, че откритият от него недостатък позволява създаване на администраторски акаунт, който предоставя „неограничен достъп” до централизирания уеб портал на неназования автомобилен производител.
С този достъп злонамерен хакер би могъл да преглежда личните и финансовите данни на клиентите на автомобилния производител, да проследява превозни средства и да записва клиенти във функции, които позволяват на собствениците – или на хакерите – да контролират някои от функциите на автомобилите си отвсякъде.
Звеаре не разкрива името на компанията с проблемния уеб портал, но уточнява, че това е широко известен автомобилен производител с няколко популярни подмарки.
В интервю преди речта си на конференцията за сигурност Def Con в Лас Вегас в неделя, Звеаре акцентира върху бъговете в тези дилърски системи, които предоставят на служителите и сътрудниците широк достъп до информация за клиентите и превозните средства.
Звеаре, който и преди е алармирал за грешки в клиентските системи и системите за управление на превозни средства на автомобилните производители, е открил поредния бъг по-рано тази година. Според него, макар недостатъците в сигурността на системата за вход на портала да са били трудни за откриване, в крайна сметка грешките са му позволили да заобиколи механизма за вход напълно, създавайки нов акаунт за „национален администратор”.
Недостатъците са били проблематични, защото кодът с грешки се е зареждал в браузъра на потребителя при отваряне на страницата за вход в портала, позволявайки на потребителя – в този случай Звеаре – да промени кода, за да заобиколи проверките за сигурност при влизане в приложението.
Звеаре казва, че производителят на автомобили не е открил доказателства за минали дейности по експлоатиране на уязвимостта, което предполага, че той е първият, който я открил и докладвал за нея на компанията.
Когато влязъл в системата, акаунтът му предоставил достъп до повече от 1000 дилъри на автомобилните производители в Съединените щати, твърди Звеаре.
„Никой дори не знае, че просто мълчаливо разглеждате данните на всички тези дилъри, всичките им финанси, всичките им лични неща, всичките им потенциални клиенти”, споделя Звеаре, описвайки достъпа.
Едно от нещата, които Звеаре открил в портала за дилърите, е национален инструмент за търсене на потребители, който позволява на влезлите в портала да търсят данни за превозното средство и водача на автомобил с въпросната марка.
В един пример от реалния свят Звеаре взел уникалния идентификационен номер на превозното средство от предното стъкло на автомобил на обществен паркинг и го използвал, за да идентифицира собственика на автомобила. Той твърди, че инструментът може да се използва за търсене на човек, използвайки само собственото и фамилното му име.
С достъп до портала е възможно хакерът да се свърже с всяко превозно средство с мобилен акаунт, което му позволява дистанционно да управлява някои от функциите на автомобилите от приложение, като например отключване на колите им.
Звеаре твърди, че е изпробвал това на практика, използвайки акаунт на приятел и с негово съгласие. При прехвърлянето на собствеността към акаунт, контролиран от Звеаре, порталът изисква само удостоверение – на практика обещание, че потребителят, извършващ прехвърлянето на акаунта, е легитимен.
„За моите цели, току-що получих съгласието на приятел да поема колата му”, разказва Звеаре. „Но [порталът] можеше да направи това за всеки, само като знае името му – което ме плаши малко – или просто можех да потърся кола на паркингите”.
Той не е тествал дали може да потегли, но твърди, че експлойтът може да бъде използван за злоупотреба от крадци – да проникнат и откраднат предмети от превозни средства, например.
Друг ключов проблем с достъпа до портала на въпросния производител на автомобили е, че е възможно да се осъществи достъп до системите на други дилъри, свързани със същия портал, чрез единичен вход. Тази функция позволява на потребителите да влизат в множество системи или приложения само с един набор от идентификационни данни за вход.
Звеаре пояснява, че системите на производителя на автомобили за дилъри са взаимосвързани, така че е лесно да се преминава от една система към друга.
Порталът разполага и с функция, която позволява на администраторите да се „представят” за други потребители, като по този начин ефективно им дава достъп до системите на други дилъри, без проверка на данните за вход.
Подобна функция беше открита в портал на дилър на Toyota през 2023 г. „Това са просто кошмари за сигурността, които чакат да се случат”, казва Звеаре, говорейки за функцията за представяне на потребител.
В портала Звеаре открива лични данни на клиенти, известна финансова информация и телематични системи, които позволяват проследяване на местоположението в реално време на автомобили под наем или автомобили за обслужване в цялата страна.
Отстраняването на грешките е отнело около седмица през февруари 2025 г., скоро след докладването им на производителя на автомобили.
„Изводът е, „че само две прости уязвимости в API отварят вратите и това винаги е свързано с удостоверяването”, казва Звеаре. „Ако ги сбъркате, всичко просто се срива”.
