Mercedes, Ferrari ve diğer üst düzey lüks arabalarda, tehdit aktörlerinin sahiplerinin kişisel olarak tanımlanabilir bilgilerini çalmasına, araçlarını takip etmesine ve hatta bazı durumlarda arabaların kilidini açıp çalıştırmasına izin verebilecek büyük güvenlik açıkları bulundu.
Aralarında BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota gibi önde gelen markaların da bulunduğu yaklaşık iki düzine otomobil markası kusurlardan etkilendi. ve Genesis.
Araba üreticilerinin yanı sıra, araba teknolojisi üreticileri Spireon ve Reviver ile yayın hizmeti sağlayıcıları SiriusXM de etkilendi.
Özel verilere erişim
Açıklar, bağlantılı arabalardaki güvenlik açıklarını keşfetme geçmişi olan siber güvenlik araştırmacısı Sam Curry tarafından keşfedildi. Aralık 2022’nin başlarında, SiriusXM’de tehdit aktörlerinin bağlı araçlara erişmesini sağlayan bir kusur keşfetti.
Bu durumda, farklı üreticilerin farklı güvenlik açıkları vardı. BMW ve Mercedes-Benz, tehdit aktörlerinin dahili sistemlere erişmesine izin vererek GitHub örneklerine, özel sohbetlere, sunuculara, AWS örneklerine ve daha fazlasına erişim sağlayan kusurlu bir Tek Oturum Açma (SSO) özelliğine sahipti.
BMW ile potansiyel saldırganlar dahili bayi portallarına, araba VIN numaralarına ve ayrıca hassas sahip ayrıntıları içeren satış belgelerine erişebilirdi.
İki büyük markanın yanı sıra KIA, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Roll Royce, Ferrari, Ford, Porsche ve Toyota otomobillerinin sahipleri de kişisel olarak tanımlanabilir bilgilere sahip olabilirdi (PII) ) sızdı.
SSO kusuru, tehdit aktörlerinin herhangi bir Ferrari müşteri hesabına erişmesine, bunları değiştirmesine veya silmesine izin verdiği için Ferrari de büyük ölçüde etkilendi. Kendilerini araba sahibi olarak bile belirleyebilirlerdi. Porsche ile telematik sistemlerindeki kusurlar, tehdit aktörlerinin arabaların tam yerini belirlemesine ve hatta araçlara komutlar göndermesine izin verdi.
Etkilenen tüm satıcılara bulgular hakkında bilgi verildi ve o zamandan beri kusurlar düzeltildi.
15 milyondan fazla araçta kullanıldığı iddia edilen GPS araç takip sağlayıcısı Spireon, diğer şeylerin yanı sıra tehdit aktörlerinin arabaların kilidini açmasına, motoru çalıştırmasına veya marş motorunu devre dışı bırakmasına izin veren bir kusur taşıyordu.
Gelecekte bu tür kusurlara karşı korunmak için araştırmacılar, araç sahiplerinin araçlarda ve mobil refakatçi uygulamalarında mümkün olduğunca az kişisel bilgi saklamasını önermektedir.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)
