Софтуерна уязвимост поставя под риск милиони автомобили
Многобройни неточности, засягащи милиони коли от 16 разнообразни производителя, могат да бъдат употребявани за отключването, стартирането и следенето им, както и за неоторизиран достъп до персоналните данни на техните притежатели, оповестява The Hackernews.
Уязвимостите в сигурността са били открити в приложно-програмния интерфейс (API) на Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce, Toyota, както и в софтуера на Reviver, SiriusXM и Spireon.
Грешките обгръщат доста аспекти - от такива, които дават достъп до вътрешни системи на компанията производител и персонална информация за потребителите, до недостатъци, които биха разрешили на нападателя да изпрати отдалечено команди.
Цитираното от медията проучване е основано на констатации от края на предходната година, когато откривателят от Yuga Labs Сам Къри и други негови сътрудници в детайли описаха минусите в сигурността на услугата за свързани коли, предоставяна от SiriusXM, които евентуално биха могли да изложат колите на риск от хакерски атаки.
Най-сериозният от проблемите, който визира телематичното решение на Spireon, би могъл да бъде употребен за приемане на цялостен административен достъп, което би разрешило на хакерите да задават случайни команди на към 15,5 милиона автомобила, както и да актуализира фърмуера на устройствата по тяхно убеждение.
" Това щеше да ни разреши да проследим и изключим стартерите на полицията, колите за спешна помощ и колите на правоприлагащите органи в редица огромни градове и да направляваме тези коли ", споделят откривателите, представени от The Hackernews.
Уязвимостите, разпознати в Mercedes-Benz, пък биха могли да обезпечат достъп до вътрешни приложения посредством погрешно конфигурирана скица и да разрешат неоторизиран достъп до потребителски сметки. Това, на собствен ред, води до откриване на сензитивна информация.
Други дефекти в API дават опция за достъп или смяна на потребителски досиета и настройки и следене на GPS местоположението на колите в действително време, ръководство на данните за регистрационните номера на всички клиенти на Reviver и даже актуализиране на статуса на автомобила като " откраднат ".
Макар че всички тези уязвимости в това време са отстранени от съответните производители, констатациите акцентират нуждата от създаване на тактика за ограничение на заканите и понижаване на риска в този все по-свързан свят.
" Ако един нападател успее да открие уязвимости в крайните точки на API, които употребяват телематичните системи на транспортните средства, той би могъл да натисне клаксона, да даде мигач, да наблюдава от разстояние придвижването на автомобила, да заключва и отключва и да започва и стопира транспортните средства. Напълно отдалечено ", означават откривателите и прибавят: " Взаимосвързаността на нашите устройства прави отбраната на колите все по-трудна. Кибератаките против коли са се нараснали с 225% през последните три години, като 84,5 % от тези офанзиви са осъществени отдалечено ", споделя в изказване Сандип Сингх, старши управител в HackerOne.
Той добавя, че с усъвършенстването на автомобилните технологии се усилва и сложността на техните интелигентни софтуерни системи, а идентифицирането на уязвимостите във веригата за доставка на програмен продукт, породени от " интелигентни " функционалности, изисква задълбочени знания.
А това несъмнено не е сфера, в която има дефицит на експерти, което трансформира гарантирането на сигурността на обвързваните коли във все по-голямо предизвикателство.
Уязвимостите в сигурността са били открити в приложно-програмния интерфейс (API) на Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce, Toyota, както и в софтуера на Reviver, SiriusXM и Spireon.
Грешките обгръщат доста аспекти - от такива, които дават достъп до вътрешни системи на компанията производител и персонална информация за потребителите, до недостатъци, които биха разрешили на нападателя да изпрати отдалечено команди.
Цитираното от медията проучване е основано на констатации от края на предходната година, когато откривателят от Yuga Labs Сам Къри и други негови сътрудници в детайли описаха минусите в сигурността на услугата за свързани коли, предоставяна от SiriusXM, които евентуално биха могли да изложат колите на риск от хакерски атаки.
Най-сериозният от проблемите, който визира телематичното решение на Spireon, би могъл да бъде употребен за приемане на цялостен административен достъп, което би разрешило на хакерите да задават случайни команди на към 15,5 милиона автомобила, както и да актуализира фърмуера на устройствата по тяхно убеждение.
" Това щеше да ни разреши да проследим и изключим стартерите на полицията, колите за спешна помощ и колите на правоприлагащите органи в редица огромни градове и да направляваме тези коли ", споделят откривателите, представени от The Hackernews.
Уязвимостите, разпознати в Mercedes-Benz, пък биха могли да обезпечат достъп до вътрешни приложения посредством погрешно конфигурирана скица и да разрешат неоторизиран достъп до потребителски сметки. Това, на собствен ред, води до откриване на сензитивна информация.
Други дефекти в API дават опция за достъп или смяна на потребителски досиета и настройки и следене на GPS местоположението на колите в действително време, ръководство на данните за регистрационните номера на всички клиенти на Reviver и даже актуализиране на статуса на автомобила като " откраднат ".
Макар че всички тези уязвимости в това време са отстранени от съответните производители, констатациите акцентират нуждата от създаване на тактика за ограничение на заканите и понижаване на риска в този все по-свързан свят.
" Ако един нападател успее да открие уязвимости в крайните точки на API, които употребяват телематичните системи на транспортните средства, той би могъл да натисне клаксона, да даде мигач, да наблюдава от разстояние придвижването на автомобила, да заключва и отключва и да започва и стопира транспортните средства. Напълно отдалечено ", означават откривателите и прибавят: " Взаимосвързаността на нашите устройства прави отбраната на колите все по-трудна. Кибератаките против коли са се нараснали с 225% през последните три години, като 84,5 % от тези офанзиви са осъществени отдалечено ", споделя в изказване Сандип Сингх, старши управител в HackerOne.
Той добавя, че с усъвършенстването на автомобилните технологии се усилва и сложността на техните интелигентни софтуерни системи, а идентифицирането на уязвимостите във веригата за доставка на програмен продукт, породени от " интелигентни " функционалности, изисква задълбочени знания.
А това несъмнено не е сфера, в която има дефицит на експерти, което трансформира гарантирането на сигурността на обвързваните коли във все по-голямо предизвикателство.
Източник: profit.bg
КОМЕНТАРИ