Milyonlarca Araç Risk Altında: 16 Büyük Araba Markasında Ortaya Çıkan API Güvenlik Açıkları

Araştırma, Yuga Labs araştırmacısı Sam Curry ve arkadaşlarının , SiriusXM tarafından sağlanan bağlantılı bir araç hizmetindeki arabaları potansiyel olarak uzaktan saldırı riskine sokabilecek güvenlik kusurlarını detaylandırdığı geçen yılın sonlarına ait önceki bulgulara dayanıyor .

Spireon'un telematik çözümünü ilgilendiren sorunların en ciddisi, tam yönetim erişimi elde etmek için kullanılmış olabilir, bu da bir saldırganın yaklaşık 15,5 milyon araca keyfi komutlar vermesinin yanı sıra cihaz yazılımını güncellemesine olanak tanır.

Araştırmacılar, "Bu, bir dizi farklı büyük şehir için polis, ambulans ve kolluk araçlarının marş motorlarını takip etmemize ve kapatmamıza ve bu araçlara komutlar göndermemize izin verirdi" dedi.

Mercedes-Benz'de tanımlanan güvenlik açıkları, yanlış yapılandırılmış çoklu oturum açma (SSO) kimlik doğrulama şeması aracılığıyla dahili uygulamalara erişim sağlayabilirken, diğerleri kullanıcı hesabının ele geçirilmesine ve hassas bilgilerin ifşa edilmesine izin verebilir.

Diğer kusurlar, müşteri kayıtlarına, dahili bayi portallarına erişmeyi veya bunları değiştirmeyi, araç GPS konumlarını gerçek zamanlı olarak izlemeyi, tüm Reviver müşterileri için plaka verilerini yönetmeyi ve hatta araç durumunu "çalıntı" olarak güncellemeyi mümkün kılar.

O zamandan beri tüm güvenlik açıkları, sorumlu ifşanın ardından ilgili üreticiler tarafından giderilmiş olsa da, bulgular, tehditleri kontrol altına almak ve riski azaltmak için derinlemesine savunma stratejisine duyulan ihtiyacı vurguluyor.

Araştırmacılar, "Bir saldırgan, araç telematik sistemlerinin kullandığı API uç noktalarında güvenlik açıkları bulabilirse, kornaya basabilir, ışıkları yakabilir, uzaktan izleyebilir, araçları tamamen uzaktan kilitleyebilir/kilidini açabilir ve çalıştırabilir/durdurabilir."