محققان امنیتی آسیب‌پذیری‌های جدی را در چندین شرکت خودروسازی و خودروهای اضطراری پیدا می‌کنند


یک سیب زمینی داغ: محققان امنیتی پاییز گذشته آسیب‌پذیری‌های شدیدی را کشف کردند که به هکرها اجازه می‌داد تا وسایل نقلیه و داده‌های مشتریان را از چندین سازنده بدزدند. در به‌روزرسانی جدید، یکی از محققان می‌نویسد که آسیب‌پذیری‌ها گسترده‌تر هستند و حتی می‌توانند بر خودروهای مجری قانون و خدمات اضطراری تأثیر بگذارند.

طبق آخرین گزارش محقق سام کوری، آسیب‌پذیری‌های متعدد می‌تواند به مهاجمان اجازه دهد تا وسایل نقلیه پلیس، آمبولانس‌ها و خودروهای مصرف‌کننده تولیدکنندگان مختلف را از راه دور ردیابی و کنترل کنند. این به روز رسانی به دنبال اطلاعیه مشابهی از نوامبر است.

نقطه ضعف دکل های خدمات اضطراری وب سایت شرکت کنترل کننده GPS و Telematics برای بیش از 15 میلیون دستگاه است که اکثر آنها وسایل نقلیه –Spireon Systems هستند. محققان وب‌سایت Spireon را قدیمی توصیف کردند و می‌توانستند با کمی هوشمندی با یک حساب مدیر وارد آن شوند.

از آنجا، آنها می توانند از راه دور ناوگان خودروهای پلیس، آمبولانس ها و وسایل نقلیه تجاری را ردیابی و کنترل کنند. مهاجمان می‌توانند قفل ماشین‌ها را باز کنند، موتورهایشان را روشن کنند، سوئیچ‌های احتراقشان را غیرفعال کنند، دستورات ناوبری را به کل ناوگان ارسال کنند، و به‌روزرسانی‌های سیستم‌افزار را برای ارسال احتمالی بدافزار کنترل کنند.

سال گذشته، کری گفت که آسیب‌پذیری‌های سیستم‌های راه دور SiriusXM می‌تواند به هکرها اجازه دهد تا خودروهای آکورا، هوندا، اینفینیتی و نیسان را تنها با استفاده از شماره شناسایی خودروی هر خودرو به سرقت ببرند. آنها همچنین می توانند به اطلاعات شخصی مشتریان دسترسی داشته باشند. گزارش جدید خطرات مشابهی را در مورد مدل های کیا، هیوندای و جنسیس نشان می دهد.

علاوه بر این، سیستم‌های ورود به سیستم با پیکربندی نادرست به محققان اجازه می‌دهد به سیستم‌های شرکت داخلی BMW، مرسدس بنز و رولز رویس دسترسی داشته باشند. نقص ها امکان دسترسی مستقیم به وسیله نقلیه را فراهم نمی کرد. با این حال، مهاجمان می توانستند ارتباطات داخلی مرسدس بنز را نقض کنند، به اطلاعات نمایندگی BMW دسترسی داشته باشند و هر حساب کارمند BMW یا رولز رویس را ربودند. حفره‌های امنیتی در وب‌سایت‌های فراری همچنین به محققان اجازه می‌دهد به امتیازات مدیریتی دسترسی داشته باشند و تمام اطلاعات مشتری را حذف کنند.

محققان همچنین دریافتند که بیشتر، اگر نه همه، پلاک های دیجیتال کالیفرنیا در برابر مهاجمان آسیب پذیر هستند. پس از قانونی شدن صفحات دیجیتال توسط ایالت در سال گذشته، شرکتی به نام Reviver احتمالاً همه آنها را مدیریت کرد و نقص های امنیتی در سیستم های داخلی Reviver ظاهر شد. دارندگان پلاک دیجیتال می توانند از Reviver برای به روز رسانی پلاک های خود استفاده کرده و از راه دور آنها را به عنوان سرقت گزارش کنند. با این حال، آسیب‌پذیری‌ها به مهاجمان اجازه می‌داد تا به حساب‌های عادی Reviver امتیازات بالایی بدهند که می‌توانستند هر ثبت‌نام را در سیستم ردیابی، تغییر و حذف کنند.

آخرین پست وبلاگ Curry به طور گسترده روش شناسی پشت این هک ها و سایر هک ها را برای کسانی که علاقه مند به این هک هستند توضیح می دهد. تیم او قبل از افشای آسیب‌پذیری‌ها را به شرکت‌های آسیب‌دیده گزارش کرد. حداقل برخی از آنها صدور وصله های امنیتی را تایید کردند.



منبع