Sürücülerin araçlarını uzaktan çalıştırmasına veya kilidini açmasına izin verecek şekilde uyarlanmış en az üç mobil uygulamanın, kimliği doğrulanmamış kötü niyetli türlerin aynı şeyi uzaktan yapmasına izin verebilecek güvenlik açıklarına sahip olduğu bulundu. Araştırmacılar, bu tür güçlü uygulamalar için API’lerin güvenliğini sağlamanın, bağlantılı araba korsanlığını önlemede bir sonraki aşama olduğunu söylüyor.
Yuga Labs’a göre, Hyundai ve Genesis’in araca özgü uygulamaları ile SiriusXM akıllı araç platformu (Acura, Honda, Nissan, Toyota ve diğerleri dahil olmak üzere çeşitli otomobil üreticileri tarafından kullanılıyor), saldırganların uygulamalar arasındaki trafiği engellemesine izin vermiş olabilir. ve 2012’den sonra yapılan araçlar.
Hyundai Uygulamaları Uzaktan Araç Kontrolüne İzin Veriyor
MyHyundai ve MyGenesis uygulamaları söz konusu olduğunda, uygulamaların yaptığı API çağrılarının incelenmesi, sahip doğrulamasının, sürücünün e-posta adresini çeşitli kayıt parametreleriyle eşleştirerek yapıldığını gösterdi. Araştırmacıların dediği gibi bu “uçuş öncesi kontrolü” bozmanın olası yolları üzerinde oynadıktan sonra, bir saldırı yolu keşfettiler:
“Kayıt sırasında zaten var olan bir kurban e-posta adresinin sonuna bir CRLF karakteri ekleyerek, … e-posta parametresi karşılaştırma kontrolünü atlayan bir hesap oluşturabiliriz” diye açıkladılar. tweet dizisi zayıflıkları detaylandırıyor. Oradan, uygulamaların komutları ve araba üzerinde tam kontrol elde edebildiler. Saldırganlar arabayı çalıştırmanın yanı sıra kornayı çalabilir, klimayı kontrol edebilir ve diğer şeylerin yanı sıra bagajı açabilir.
Ayrıca saldırıyı otomatikleştirebildiler. “Bundan yararlanmak için gerekli tüm istekleri aldık ve yalnızca kurbanın e-posta adresine ihtiyaç duyan bir python betiğine yerleştirdik” diye tweet attılar. “Bunu girdikten sonra, araçtaki tüm komutları uygulayabilir ve gerçek hesabı devralabilirsiniz.”
StackHawk’ın kurucu ortağı ve CSO’su Scott Gerlach, “Birçok araba korsanlığı senaryosu, mobil uygulamanın kendisiyle ilgili bir sorunun değil, bir API güvenlik sorununun sonucudur” diyor. “Bir mobil uygulamanın tüm hassas verileri ve işlevleri, uygulamanın konuştuğu API’de bulunur, bu yüzden güvenli olması gereken şey budur. İyi tarafı, bu çok hedefli bir saldırı türüdür ve toplu yürütmesi zor olacaktır. Dezavantajı hedeflenen araç sahibi için hala oldukça saldırgan mı?”
Gerlach, bulgunun API güvenlik testinin önemini gösterdiğini söylüyor.
“Güvensiz Doğrudan Nesne Erişimi ve Bozuk İşlev Yetkilendirmesi dahil olmak üzere OWASP’lerin İlk 10 güvenlik açığı için API’leri test etmek, artık yazılım geliştirme yaşam döngüsünde sahip olunması güzel bir adım değil” diyor. “Bugün bağlantılı arabaların satılma şekli … bir müşterinin bir banka hesabı açmasına ve ardından yalnızca hesap numarasına göre çevrimiçi erişimlerini oluşturmakla görevlendirilmesine benzer. Herkes bu verileri çok az bir çabayla bulabilir ve varlıklarınızı risk, çünkü doğrulama süreci baştan sona düşünülmemiş.”
SiriusXM Tabanlı Araç Hackleme
Çoğu kişi SiriusXM’i bir uydu radyosu ezici gücü olarak bilse de, şirket aynı zamanda uzaktan çalıştırma, GPS konumu, uzaktan klima kontrolleri ve daha fazlası gibi işlevlere sahip 12 milyon bağlantılı araba sağlayan bir bağlantılı araç telemetri sağlayıcısıdır. Web sitesine göre Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru ve Toyota dahil olmak üzere çok çeşitli otomobil üreticileri, SiriusXM bağlantılı araç platformunu kullanıyor.
Yuga araştırmacıları, SiriusXM’in güç verdiği mobil uygulamalardan biri olan NissanConnect uygulamasını incelediler ve bir hedefin araç kimlik numarasını (çoğu arabanın ön camından görülebilen VIN) biliyorlarsa, hedefin hedefine sahte HTTP istekleri gönderebileceklerini keşfettiler. uç nokta ve uygulama aracılığıyla arabada uzaktan komutları yürütmek için kullanılabilecek bir sürücünün adı, telefon numarası, adresi ve araç ayrıntıları dahil olmak üzere bir dizi bilgiyi geri alın.
Oradan başka bir otomatik komut dosyası oluşturdular. “Herhangi bir VIN numarasının müşteri ayrıntılarını almak için basit bir Python betiği yaptık” dediler tweet dizisi.
Tanium’da rekabetçi istihbarat yöneticisi Connor Ivens, Dark Reading’e “Bu son güvenlik açığı, gömülü sistemler veya üretimle ilgili değil, web uygulamasının kendisiyle ilgili” dedi. “Araştırmacılar, müşteri kimliğinin birincil anahtarı olarak arabanın VIN numaralarını kullanıyor ve bir taşıyıcı belirteç oluşturmak için POST istekleri gönderiyor. Bu, araba üzerinde başka istekler yayınlamak için idari kontrole izin veriyor.”
Mobil uygulama güvenliğinin güçlendirilmesi gerektiği açıktır. Gerlach, “Uygulama hizmetinin kendisi, neredeyse satın alma sürecinin sonradan akla gelen bir ürünü,” diyor. “Otomobil üreticilerinin, bağlantılı hizmeti müşteri için satın alma ve doğrulama sürecine nasıl daha iyi entegre edecekleri konusunda daha derin düşünmeleri gerekiyor.”
Araç Güvenlik Açıklarına Çarpmayı Bekleyin
Yuga, kusurları derhal yamalar yayınlayan Hyundai ve SiriusXM’ye açıkladı. Gerçek dünyada hiçbir saldırı gerçekleşmedi, ancak araştırmacılar Dark Reading’e bu tür hata keşiflerinin, özellikle araçlar daha bağlantılı hale geldikçe ve yerleşik yazılım ile uzak yeteneklerin karmaşıklığı arttıkça ön plana çıkmaya devam edeceğini söylüyor.
Allegro Solutions’ta siber güvenlik uyum uzmanı ve CEO’su Karen Walsh, bağlantılı ve otonom araçların kurumsal ortamlara benzer genişletilmiş bir saldırı yüzeyine sahip olmasına rağmen, etkilenen tüketicilerin kendileri için çalışan eksiksiz bir siber güvenlik ekibine sahip olmadığını söylüyor. Bu nedenle, daha iyisini yapma sorumluluğu otomobil üreticilerinde.
“Sektör istese de istemese de bu saldırı vektörünü güvence altına almak için daha çok çalışması gerekecek. Bu aynı zamanda tedarik zinciri açısından da sektöre çok daha büyük bir yük getirecek. Güvenliğe alınması gereken sadece araçlar değil, ancak tüm ek teknolojiler – bu durumda SiriusXM gibi bilgi-eğlence – herhangi bir güvenlik girişimine dahil edilmesi gerekir.”
Jeep Hacking Demosunu Geçmek
Bu tür kusurların araştırılmasında da bir artış görebiliriz. Black Hat USA’da Charlie Miller ve Chris Valasek’in rezil 2015/2016 Jeep hackleme demoları, bağlantılı arabalardaki potansiyel fiziksel güvenlik açıklarını gün ışığına çıkardığından beri, otomotiv hackleme alanı patladı.
Netenrich’in baş tehdit avcısı John Bambenek, “Jeep hack demosu, hücresel modemler üzerinden hacklemeyi içeriyordu (ve bunun sonucunda hücre şirketleri bazı temel işlevleri devre dışı bıraktı),” diyor. “Web uygulamalarının bu iletişim yolundan farklı kendi güvenlik kaygıları var. Tüm iletişim yığınına sahip olmak zorunda değilim, yalnızca yumuşak bir nokta bulmam gerekiyor ve araştırmacılar bunları bulmaya devam ediyor. Gerçek şu ki, hepsi bir araya getirildi. kusurlu koli bandı ve emniyet teli ile … her zaman böyle olmuştur.”
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, mobilin bir sonraki sınır olduğunu söylüyor.
Dark Reading’e, “Tehdit aktörleri uzak mesafe ve sınırlı yetenekle anahtarlıklara saldırdığında yeterince zorlayıcıydı” dedi. “Artık, otomobiller bir araç kadar mobil bilgi işlem platformu olduğu için, sadece daha zorlu hale gelecek.”
“Bir saldırgan bir mobil cihazın güvenliğini aşabilirse, kullanıcının araç kontrol uygulaması da dahil olmak üzere cihazdaki birçok uygulamayı potansiyel olarak kontrol edebilir. Kullanıcının mobil cihazı, üreticinin bulut hizmetleri ve aracın kendisi arasındaki kontrol kanalları başka bir şeydir.” saldırı yüzeyi tehdit aktörleri kaldıraç sağlayabilir.”