В Mercedes, Ferrari и других роскошных автомобилях обнаружены серьезные недостатки безопасности
5 января 2023 г.В автомобилях Mercedes, Ferrari и других роскошных автомобилях были обнаружены серьезные недостатки в системе безопасности, которые могли позволить злоумышленникам украсть личную информацию владельцев, отслеживать их транспортные средства, а в некоторых случаях даже разблокировать и завести автомобили.
Эти дефекты затронули почти два десятка марок автомобилей, в том числе ведущие бренды, такие как BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Ниссан, Акура, Хендай, Тойота и Генезис.
Помимо производителей автомобилей, пострадали производители автомобильных технологий Spireon и Reviver, а также поставщики потоковых услуг SiriusXM.
Доступ к личным данным
Эти уязвимости были обнаружены исследователем кибербезопасности Сэмом Карри, который уже давно обнаруживает уязвимости в подключенных к Интернету автомобилях. В начале декабря 2022 года он обнаружил в SiriusXM уязвимость, которая позволяла злоумышленникам получать доступ к подключенным автомобилям.
В данном случае у разных производителей были разные уязвимости. У BMW и Mercedes-Benz была ошибочная функция единого входа (SSO), которая позволяла злоумышленникам получать доступ к внутренним системам, предоставляя им доступ к экземплярам GitHub, частным чатам, серверам, экземплярам AWS и многому другому.
С помощью BMW потенциальные злоумышленники могли получить доступ к внутренним дилерским порталам, номерам VIN автомобилей, а также документам о продажах с конфиденциальными данными владельца.
Помимо двух основных брендов, владельцы автомобилей KIA, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Roll Royce, Ferrari, Ford, Porsche и Toyota могли иметь персональные идентификационные данные. информация (PII) просочилась.
Ferrari также сильно пострадала, поскольку уязвимость SSO позволяла злоумышленникам получать доступ, изменять или удалять любую учетную запись клиента Ferrari. Они могли даже представить себя автовладельцами. В случае с Porsche недостатки в его телематических системах позволили злоумышленникам определить точное местонахождение автомобилей и даже отправить им команды.
Все затронутые поставщики были уведомлены об обнаруженных нарушениях и с тех пор исправили их. недостатки.
Провайдер GPS-слежения за транспортными средствами Spireon, предположительно используемый в более чем 15 миллионах транспортных средств, имел недостаток, который, среди прочего, позволял злоумышленникам разблокировать автомобили, запустить двигатель или отключить стартер.
Чтобы защититься от таких недостатков в будущем, исследователи предлагают владельцам транспортных средств хранить как можно меньше личной информации в транспортных средствах и мобильных приложениях.
- Ознакомьтесь с лучшая защита конечных точек в мире
Через: BleepingComputer
Оригинал