Diversi bug che colpiscono milioni di veicoli di 16 diversi produttori potrebbero essere sfruttati per sbloccare, avviare e tracciare le auto, oltre a influire sulla privacy dei proprietari di auto.
Le vulnerabilità di sicurezza sono state rilevate nelle API automobilistiche che alimentano Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce, Toyota e nel software da Reviver, SiriusXM e Spireon.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
I difetti coprono un’ampia gamma, da quelli che danno accesso ai sistemi aziendali interni e alle informazioni degli utenti a punti deboli che consentirebbero a un utente malintenzionato di inviare comandi in remoto per ottenere l’esecuzione del codice.
La ricerca si basa su risultati precedenti della fine dello scorso anno, quando il ricercatore di Yuga Labs Sam Curry e altri hanno dettagliato i difetti di sicurezza in un servizio di veicoli connessi fornito da SiriusXM che potrebbero potenzialmente mettere le auto a rischio di attacchi remoti.
Il più grave dei problemi, che riguarda la soluzione telematica di Spireon, avrebbe potuto essere sfruttato per ottenere il pieno accesso amministrativo, consentendo a un avversario di impartire comandi arbitrari a circa 15,5 milioni di veicoli nonché aggiornare il firmware del dispositivo.
“Questo ci avrebbe permesso di tracciare e spegnere i mezzi della polizia, le ambulanze e i veicoli delle forze dell’ordine per un certo numero di diverse grandi città e inviare comandi a quei veicoli”, hanno detto i ricercatori.
Le vulnerabilità identificate in Mercedes-Benz potrebbero consentire l’accesso alle applicazioni interne tramite uno schema di autenticazione Single Sign-On (SSO) configurato in modo errato, mentre altre potrebbero consentire l’acquisizione dell’account utente e la divulgazione di informazioni sensibili.
Altri difetti consentono di accedere o modificare i record dei clienti, i portali dei rivenditori interni, tracciare le posizioni GPS dei veicoli in tempo reale, gestire i dati della targa per tutti i clienti Reviver e persino aggiornare lo stato del veicolo come “rubato”.
Sebbene tutte le vulnerabilità della sicurezza siano state risolte dai rispettivi produttori in seguito a una divulgazione responsabile, i risultati evidenziano la necessità di una strategia di difesa approfondita per contenere le minacce e mitigare i rischi.
Intermezzo promozionale ... continua la lettura dopo il box:
“Se un utente malintenzionato fosse in grado di trovare vulnerabilità negli endpoint API utilizzati dai sistemi telematici dei veicoli, potrebbe suonare il clacson, far lampeggiare le luci, tracciare, bloccare/sbloccare e avviare/arrestare i veicoli in remoto, completamente da remoto”, hanno osservato i ricercatori.
“L’interconnessione dei nostri dispositivi sta rendendo la protezione delle auto più impegnativa, come esemplificato dagli attacchi informatici alle auto aumentati del 225% negli ultimi tre anni, con l’84,5% di questi attacchi eseguiti da remoto”, Sandeep Singh, senior manager dei servizi tecnici di HackerOne, ha detto in una dichiarazione, spiegando l’aumento degli hack automobilistici e la necessità di collaborare con la comunità di hacking etico.
“Man mano che la tecnologia delle automobili diventa più avanzata, aumenta anche la complessità dei loro sistemi software intelligenti”, ha aggiunto Singh. “L’identificazione delle vulnerabilità della catena di fornitura del software causate da funzionalità ‘intelligenti’ richiede una profonda conoscenza dei sistemi software e hardware e una comprensione dei protocolli personalizzati specifici per i veicoli connessi e i sistemi automobilistici”.
Fonte : https://thehackernews.com/2023/01/millions-of-vehicles-at-risk-api.html