یک سیب زمینی داغ: محققان امنیتی پاییز گذشته آسیبپذیریهای شدیدی را کشف کردند که به هکرها اجازه میداد تا وسایل نقلیه و دادههای مشتریان را از چندین سازنده بدزدند. در بهروزرسانی جدید، یکی از محققان مینویسد که آسیبپذیریها گستردهتر هستند و حتی میتوانند بر خودروهای مجری قانون و خدمات اضطراری تأثیر بگذارند.
محققان همچنین دریافتند که بیشتر، اگر نه همه، پلاک های دیجیتال کالیفرنیا در برابر مهاجمان آسیب پذیر هستند. پس از قانونی شدن صفحات دیجیتال توسط ایالت در سال گذشته، شرکتی به نام Reviver احتمالاً همه آنها را مدیریت کرد و نقص های امنیتی در سیستم های داخلی Reviver ظاهر شد. دارندگان پلاک دیجیتال می توانند از Reviver برای به روز رسانی پلاک های خود استفاده کرده و از راه دور آنها را به عنوان سرقت گزارش کنند. با این حال، آسیبپذیریها به مهاجمان اجازه میداد تا به حسابهای عادی Reviver امتیازات بالایی بدهند که میتوانستند هر ثبتنام را در سیستم ردیابی، تغییر و حذف کنند.
از آنجا، آنها می توانند از راه دور ناوگان خودروهای پلیس، آمبولانس ها و وسایل نقلیه تجاری را ردیابی و کنترل کنند. مهاجمان میتوانند قفل ماشینها را باز کنند، موتورهایشان را روشن کنند، سوئیچهای احتراقشان را غیرفعال کنند، دستورات ناوبری را به کل ناوگان ارسال کنند، و بهروزرسانیهای سیستمافزار را برای ارسال احتمالی بدافزار کنترل کنند.
نقطه ضعف دکل های خدمات اضطراری وب سایت شرکت کنترل کننده GPS و Telematics برای بیش از 15 میلیون دستگاه است که اکثر آنها وسایل نقلیه –Spireon Systems هستند. محققان وبسایت Spireon را قدیمی توصیف کردند و میتوانستند با کمی هوشمندی با یک حساب مدیر وارد آن شوند.
آخرین پست وبلاگ Curry به طور گسترده روش شناسی پشت این هک ها و سایر هک ها را برای کسانی که علاقه مند به این هک هستند توضیح می دهد. تیم او قبل از افشای آسیبپذیریها را به شرکتهای آسیبدیده گزارش کرد. حداقل برخی از آنها صدور وصله های امنیتی را تایید کردند.
سال گذشته، کری گفت که آسیبپذیریهای سیستمهای راه دور SiriusXM میتواند به هکرها اجازه دهد تا خودروهای آکورا، هوندا، اینفینیتی و نیسان را تنها با استفاده از شماره شناسایی خودروی هر خودرو به سرقت ببرند. آنها همچنین می توانند به اطلاعات شخصی مشتریان دسترسی داشته باشند. گزارش جدید خطرات مشابهی را در مورد مدل های کیا، هیوندای و جنسیس نشان می دهد.
علاوه بر این، سیستمهای ورود به سیستم با پیکربندی نادرست به محققان اجازه میدهد به سیستمهای شرکت داخلی BMW، مرسدس بنز و رولز رویس دسترسی داشته باشند. نقص ها امکان دسترسی مستقیم به وسیله نقلیه را فراهم نمی کرد. با این حال، مهاجمان می توانستند ارتباطات داخلی مرسدس بنز را نقض کنند، به اطلاعات نمایندگی BMW دسترسی داشته باشند و هر حساب کارمند BMW یا رولز رویس را ربودند. حفرههای امنیتی در وبسایتهای فراری همچنین به محققان اجازه میدهد به امتیازات مدیریتی دسترسی داشته باشند و تمام اطلاعات مشتری را حذف کنند.
طبق آخرین گزارش محقق سام کوری، آسیبپذیریهای متعدد میتواند به مهاجمان اجازه دهد تا وسایل نقلیه پلیس، آمبولانسها و خودروهای مصرفکننده تولیدکنندگان مختلف را از راه دور ردیابی و کنترل کنند. این به روز رسانی به دنبال اطلاعیه مشابهی از نوامبر است.