Modern arabalar giderek daha fazla farklı elektronik içerir ve ona giderek daha fazla güvenir. Ve bu bir sorun olabilir. Güvenlik araştırmacısı Sam Curry’ye göre, yeni arabaların elektronik sistemlerindeki çok sayıda güvenlik açığı, saldırganların bu tür arabaları uzaktan izlemesine ve hatta kısmen kontrol etmesine şimdiden izin verebilir. Daha da kötüsü, çeşitli acil servislerin araçlarından bahsediyoruz.
Bu durumda zayıf halka Spireon Systems web sitesidir. Amerika Birleşik Devletleri’ndeki polis arabaları ve kurtarma araçları da dahil olmak üzere çoğu araba olan 15 milyondan fazla cihaz için GPU verilerini ve diğer telematiği kontrol eden bu şirkettir.
Sorun, Spireon Systems web sitesinin eski olması ve modern güvenlik yöntemlerinden yoksun olmasıdır. Güvenlik açıkları, saldırganların yalnızca arabaları izlemesine değil, aynı zamanda arabaların kilidini açmasına, motorları çalıştırmasına, navigasyon komutları göndermesine vb. izin verebilir.
Ayrıca güvenlik araştırmacıları, BMW, Mercedes Benz ve Rolls Royce’un kurumsal sistemlerine erişmeyi başardı. Bu durumda, diğer güvenlik açıklarından bahsediyoruz, makine üzerinde kontrol sahibi olmanıza izin vermiyorlar, ancak gizli verilere erişebilirsiniz. Ferrari’nin web sitelerindeki güvenlik açıkları, yönetici ayrıcalıklarına erişime ve tüm müşteri bilgilerinin kaldırılmasına da izin veriyor.
Diğer bir özellik ise dijital plakalardır. Bu eyalette bu tür işaretlerle yeni ilgilenen Reviver şirketi ile güvenlik sorunları nedeniyle Kaliforniyalıların bilgisayar korsanlarına karşı savunmasız olduğu ortaya çıktı.
Kerry, şu anda hangi üreticilerin hangi güvenlik sorunu yaşadığına dair verileri de paylaştı.
Kia, Honda, Infiniti, Nissan, Acura:
- Tamamen uzaktan kilitleme, kilidi açma, motoru çalıştırma, motoru durdurma, tam konum belirleme, flaş farlar ve yalnızca VIN numarasını kullanan araçlara sinyal verme.
- VIN numarası (isim, telefon numarası, e-posta adresi, fiziksel adres) aracılığıyla tamamen uzaktan hesap yakalama ve PII ifşası
- Kullanıcıların araçlarının uzaktan kumandasını engelleme, sahipliğini değiştirme yeteneği
- Kia için 360 derece kameraya uzaktan erişim sağlayabilirsiniz.
Mercedes Benz:
- SSO’nun arkasındaki birden fazla Github örneği, şirket çapında dahili sohbet, hemen hemen her kanala katılma yeteneği, AWS örneklerini yönetmek için dahili bulut dağıtım hizmetleri, araçla ilgili dahili API’ler dahil olmak üzere yanlış yapılandırılmış SSO aracılığıyla görev açısından kritik yüzlerce dahili uygulamaya erişim
- Birden çok sistemde uzaktan kod yürütme
- Çalışanların/müşterilerin kişisel verilerinin ifşasına yol açan bellek sızıntıları, hesap erişimi
Hyundai Doğuşu:
- Sadece kurbanın e-posta adresini kullanarak tamamen uzaktan kilitleme, kilidi açma, motoru çalıştırma, motoru durdurma, tam konum belirleme, flaşör farları ve araçları alarma geçirme.
- Kurbanın e-posta adresi (isim, telefon numarası, e-posta adresi, fiziksel adres) aracılığıyla tamamen uzaktan hesap devralma ve PII ifşası
- Kullanıcıların araçlarının uzaktan kumandasını engelleme, sahipliğini değiştirme yeteneği
BMW, Royce:
- Herhangi bir çalışan uygulamasına herhangi bir çalışan olarak erişmemize izin veren şirket genelindeki temel SSO güvenlik açıkları, BMW satış belgelerini almak için herhangi bir VIN talep edebileceğiniz dahili bayi portallarına erişmemize izin verdi. Uzak çalışanlar ve bayiler tarafından kullanılan uygulamalar da dahil olmak üzere, herhangi bir çalışan adına tek oturum açma ile engellenen herhangi bir uygulamaya erişmek de mümkündür.
Ferrari:
- Herhangi bir Ferrari müşteri hesabı için sıfır etkileşimle tam hesap devralma
- IDOR, tüm Ferrari müşteri kayıtlarına erişmek için
- Bir saldırganın çalışan “arka ofis” yönetici hesaplarını ve Ferrari’ye ait web sayfalarını CMS sistemi aracılığıyla değiştirme becerisine sahip tüm kullanıcı hesaplarını oluşturmasına, değiştirmesine ve silmesine izin veren erişim kontrolünün olmaması.
- api.ferrari.com’a (rest-connectors) HTTP yolları ekleme ve mevcut tüm rest-connector’ları ve bunların ilişkili sırlarını (yetkilendirme başlıkları) görüntüleme yeteneği
Ford:
- Stok araç belleğinin tam ifşası Telematik API’si, araçlarda komutları izlemek ve yürütmek için müşteri PII’sini ve erişim belirteçlerini ortaya çıkarır
- Telematik ile ilgili dahili hizmetler için kullanılan yapılandırma kimlik bilgilerini gösterir.
- Bir müşteri hesabı ile kimlik doğrulaması yapma ve tüm kişisel bilgilere erişme ve araçlar üzerinde işlem gerçekleştirme yeteneği.
- URL’yi yanlış analiz ederek bir müşterinin hesabını ele geçirmek, saldırganın arabanın portalı da dahil olmak üzere kurbanın hesabına tam erişim elde etmesine olanak tanır.
toyota:
- Toyota Financial’da, herhangi bir Toyota finansal müşterisinin adını, telefon numarasını, e-posta adresini ve kredi durumunu açıklayan IDOR.
Ve tüm şirketler değil.
Curry’nin ekibi tüm şirketleri sorunlar hakkında önceden bilgilendirdi ve bazıları sorunları çoktan çözdü.