هکرها راهی برای دسترسی به اطلاعات شخصی شما و سرقت همزمان ماشین شما پیدا کردند


در متن: برنامه های از راه دور برای اتومبیل ها یک راحتی عالی هستند. من دوست دارم سوبارو لگاسی خود را از راه دور راه اندازی کنم تا اکنون که هوا در حال سرد شدن است، اجازه بدهم کمی گرم شود. با این حال، این ویژگی ها بدون خطر نیستند. برخی محاسبه می شوند. برای مثال، می‌توانید خطر سرقت خودرو را با باز نکردن یا روشن نکردن قفل خودرو محدود کنید، مگر اینکه دید مستقیم داشته باشید. تهدیدهای دیگر از دست شما خارج است، مانند امنیت برنامه از راه دور.

آن برنامه‌های ماشین از راه دور راحت که به شما امکان راه‌اندازی، باز کردن قفل، بوق زدن و حتی مکان‌یابی ماشین خود را از تلفنتان می‌دهند، ممکن است آنقدر که فکر می‌کردید ایمن نباشند. هکرها راهی برای انجام همه این کارها بدون نیاز به اعتبار ورود شما پیدا کردند.

حیله کار کرد برای چندین برند از جمله خودروهای آکورا، هوندا، اینفینیتی و نیسان. همچنین ممکن است روی BMW، هیوندای، جگوار، لندرور، لکسوس، سوبارو و تویوتا کار کند زیرا همه آنها از یک ارائه دهنده تلماتیک استفاده می کنند. لیست خودروها بسیار گسترده بود، زیرا به نظر می رسد SiriusXM شرکتی است که خدمات از راه دور را برای همه این تولیدکنندگان انجام می دهد.

هکرها نمی‌دانستند که SiriusXM حتی در این زمینه فعالیت دارد، زیرا بیشتر به خاطر عملکرد رادیویی ماهواره‌ای خود شناخته می‌شود. با این حال، اگر شما صاحب هر یک از این برندها هستید، احتمالاً از قبل می‌دانید که SiriusXM پشت سرویس‌های راه دور خودروی شما قرار دارد، زیرا برای استفاده از آنها باید یک حساب کاربری ایجاد کنید.

هکر خودخوانده، شکارچی باگ و مهندس امنیت کارکنان آزمایشگاه یوگا سام کاری در یک موضوع توییتری توضیح داد که تنها چیزی که او و تیمش برای دسترسی به مشخصات راننده نیاز داشتند، شماره شناسایی خودرو (VIN) بود. این کد برای همه خودروها منحصر به فرد است. با این حال، با قدم زدن از طریق هر پارکینگی به راحتی قابل دسترسی است، زیرا از طریق شیشه جلو روی داشبورد اکثر وسایل نقلیه قابل مشاهده است.

مدتی طول کشید تا محققان برنامه‌ها را مهندسی کنند، اما از آنجایی که SiriusXM تمام تخم‌های خود را در یک سبد قرار داد، برای اثبات مفهوم فقط به یک سبد نیاز داشتند – NissanConnect. آنها با شخصی که صاحب یک نیسان بود تماس گرفتند و اعتبار آنها را به امانت گرفتند تا روند احراز هویت را بیشتر بررسی کنند.

برنامه‌ها با ارتباط با دامنه‌ای که متعلق به SiriusXM است، کار می‌کنند، نه با سازنده خودرو، همانطور که به طور مستقیم فکر می‌کنید. از طریق آزمون و خطا، Curry دریافت که تنها پارامتری که برنامه NissanConnect و سرور احراز هویت میزبانی شده به آن اهمیت می‌دهند «customerId» است. تغییر فیلدهای دیگر، مانند “vin” هیچ تاثیری نداشت.

در حین جستجو، تیم متوجه شد که فیلد customerId دارای یک پیشوند “nissancust” و یک هدر “Cv-Tsp” است که “NISSAN_17MY” را برای خودروی آزمایشی مشخص کرده است. اگر هر یک از این متغیرها را تغییر دهند، درخواست‌ها با شکست مواجه می‌شوند. بنابراین آن‌ها آن نقطه پایانی را در پشت سر گذاشتند و روی دیگران تمرکز کردند.

چند ساعت بعد، محققان با پاسخ HTTP مواجه شدند که دارای فرمت vin بود [that] به طور وحشتناکی شبیه پیشوند “nissancust” از درخواست HTTP قبلی بود.” بنابراین آنها سعی کردند شناسه پیشوند VIN را به عنوان شناسه مشتری ارسال کنند. در کمال تعجب، یک توکن حامل را برگرداند که چیزی شبیه به لحظه یورکا بود. آنها سعی کردند از حامل استفاده کنند. توکن برای ارسال درخواست واکشی برای نمایه کاربر، و کار کرد!

محققان از طریق HTTP به اطلاعات مشتریان مختلف از جمله نام قربانی، شماره تلفن، آدرس و جزئیات خودرو دسترسی پیدا کردند. با استفاده از این به عنوان یک چارچوب، آنها یک اسکریپت پایتون برای دسترسی به جزئیات مشتری هر VIN وارد شده ایجاد کردند. تکان دادن و تکان دادن بیشتر باعث شد تا کری متوجه شود که نه تنها می تواند اطلاعات حساب را مشاهده کند، بلکه از دسترسی برای ارسال درخواست های فرمان به ماشین نیز استفاده می کند.

کری در توییتی نوشت: «ما می‌توانیم دستورات را بر روی وسایل نقلیه اجرا کنیم و اطلاعات کاربران را از حساب‌ها فقط با دانستن شماره VIN قربانی، چیزی که روی شیشه جلو بود، دریافت کنیم. “ما توانستیم از راه دور قفل را باز کنیم، راه اندازی کنیم، مکان یابی کنیم، فلاش بزنیم، و هر وسیله نقلیه ای که از راه دور هوندا، نیسان، اینفینیتی و آکورا متصل بودند را کاملاً غیرمجاز و فقط با دانستن شماره VIN بوق بزنیم. [sic] از ماشین.”

علاوه بر این، تماس‌های API برای خدمات از راه دور حتی اگر کاربر دیگر اشتراک SiriusXM فعال نداشته باشد، کار می‌کند. کری همچنین خاطرنشان کرد که می تواند مالکان وسایل نقلیه را به دلخواه خود ثبت نام کند یا از این سرویس خارج کند.

اگر یکی از این مدل ها را دارید وحشت نکنید و از عملکرد ریموت آن استفاده کنید. آزمایشگاه یوگا با SiriusXM در مورد حفره امنیتی شکاف تماس گرفت و بلافاصله قبل از اینکه محققان آسیب‌پذیری را در اوایل این هفته اعلام کنند، وصله‌ای را منتشر کرد.





منبع