Забравете за ключалките: Сега всеки автомобил може да бъде откраднат чрез браузъра
В системата за онлайн достъп на дилърите на коли на една от най-големите автомобилни компании в света е открита е накърнимост – задоволително е да се разровите малко в кода на страницата. Изследователят по сигурността Итън Звеар от софтуерната компания Harness заяви, че употребявайки уязвимостта, е съумял да сътвори административен акаунт с цялостни права за достъп до вътрешния портал на производителя.
Пробивът е разрешил да се получат чувствителни данни за клиентите, информация за автомобила и даже отдалечен надзор на функционалностите – в това число отключването.
Звеар, който и преди е откривал неточности в системите на производителите на коли е разкрил казуса инцидентно – като част от персонален план през уикенда. Той открил, че при зареждане на страницата за вход в браузъра на клиента се зарежда неточен код, който може да бъде модифициран, с цел да се заобиколят всички механизми за засвидетелствуване. След това е било допустимо да се сътвори акаунт на „ народен админ “, който е давал достъп до повече от 1000 дилърски центрове в Съединените щати.
Чрез този интерфейс е било допустимо да се преглеждат персоналните данни на клиентите, в това число информация за контакт и частична финансова информация, както и да се ръководят услуги, свързани с автомобила. Те включват следене в действително време на сервизните и транспортните транспортни средства, потребление на телематични системи и даже анулация на транспорти на транспортни средства.
Един от най-обезпокоителните детайли в системата е инструментът за търсене на клиенти, при който е задоволително да се знаят името и семейството, с цел да се получи достъп до информация за съответен автомобил и неговия притежател.
Звеар употребява като образец VIN номера на автомобил, паркиран на улицата и удостовери, че това е задоволително, с цел да се свърже автомобилът с съответно лице. Според него е било допустимо да се инициира процедура за слагане на автомобила под контрола на различен консуматор – задоволително е било да потвърдите желанието си, без да е нужна каквато и да е инспекция. Той тествал този сюжет със единодушието на собствен другар и фактически получил опцията да управлява непознат автомобил посредством мобилно приложение.
Също толкоз рискова била и опцията за влизане в обвързваните системи на други дилъри посредством един вход. Благодарение на механизма SSO (Single Sign-On) основаният администраторски акаунт можел освен да се движи сред другите елементи на инфраструктурата, само че и да симулира влизане като различен консуматор. Това разрешавало достъп до правата, данните и системите на целевия чиновник без неговото познание – сходен механизъм беше открит преди този момент в дилърския портал на Toyota.
Изследователят назовава тази архитектура същинска „ бомба със закъснител “, като акцентира, че потребителите могат дискретно да преглеждат и употребяват сериозна информация, в това число транзакции, евентуални клиенти и вътрешни разбори.
След като казуса бе оголен през февруари, компанията заяви, че е отстранила уязвимостта в границите на една седмица. При това следствието разкри, че експлойтът не е бил употребен преди този момент – Звеар явно е бил първият, който е разкрил и съобщил за дупките в системата. Според експертът коренът на казуса още веднъж е бил банален: неточности в системата за засвидетелствуване на API. Само с две уязвимости цялата система е била изложена на риск. Той счита, че това е още едно увещание: когато контролът на достъпа се разпадне, всичко останало също се разпада.
