Глобальные автомобильные бренды обнаружили множество уязвимостей в автомобилях и приложениях

Уязвимости в Toyota, BMW, Ferrari, Ford и других приводили к захвату учетных записей, удаленному выполнению кода, произвольному выполнению команд и краже информации. Более полутора десятков крупных мировых автомобильных или связанных с ними брендов имеют уязвимости в API, телематике и других компонентах, которые могут позволить злоумышленникам контролировать функции автомобиля, такие как разблокировка и запуск двигателей и даже полный захват приложений и транспортных средств. . Согласно выводам группы из семи исследователей, включая охотника за ошибками и штатного инженера по безопасности Yuga Labs Сэма Карри, продукты 16 крупных производителей автомобилей и трех поставщиков автомобильных технологий имели бреши в безопасности, которые могли привести к захвату учетных записей, удаленному выполнению кода. (RCE), не говоря уже о выполнении команд, ведущих к физическому управлению транспортным средством. Некоторые уязвимости также могут позволить кражу информации, приводя хакера прямо к личной информации пользователя автомобиля (PII), хранящейся в автомобильном приложении. Карри впервые обнаружил ошибки безопасности в Hyundai, Genesis, Honda, Acura, Nissan, Infinity и SiriusXM в ноябре 2022 года. Исследование было вызвано обнаружением уязвимостей в парке электрических скутеров, через которые они могли возиться с фарами скутеров. Карри и шесть других исследователей, в том числе основатель Assetnote Шубхам Шах, старший инженер по безопасности автомобилей красной команды Rivian Нейко Ривера, штатный инженер по безопасности Yugalabs Бретт Бюрхаус, охотник за ошибками Robinhood Ян Кэрролл, исследователь безопасности Western Regional Collegiate Cyber ​​Defense Competition Джастин Райнхарт и охотник за ошибками Майк Роберт. , поделился подробными выводами в рамках практики ответственного раскрытия информации об уязвимостях. Недостатки, которые теперь исправлены, существовали у поставщика GPS Spireon, поставщика систем связи для транспортных средств SiriusXM и поставщика автомобильных платформ как услуги Reviver, а также у последующих клиентов, включая Roll Royce, BMW, Ferrari, Mercedes-Benz, Jaguar, Porsche, Land Rover, Toyota, Honda, Nissan, Hyundai, Ford, KIA, Acura, Genesis и Infiniti. К сожалению, все продукты Spireon, используемые в 15,5 миллионах автомобилей и имеющие 1,2 миллиона учетных записей, были затронуты. Одна из этих уязвимостей приводила к удаленному выполнению кода в основных системах, используемых для управления учетными записями пользователей, устройствами и парками. Еще одна ошибка, которую Карри назвал The Daily Swig «наиболее тревожной находкой», давала администратору полный доступ к панели администрирования всей компании, которая позволяла хакерам считывать местоположение любого устройства, прошивать/обновлять прошивку устройства и отправлять произвольные команды. разблокировать автомобиль, запустить его двигатель, отключить стартер (в том числе у полицейских, машин скорой помощи и правоохранительных органов) и т. д. Точно так же уязв...

Сообщает android-robot.com

 

Опубликовано: 04:00, 15.01.2023

 

Новость из рубрики: Технологии и Hi-Tech

 

Поделиться новостью:

 

Топ новости часа

• Twitch: платформа для заработка на стриминге и доходах от рекламы...
• Зеленский ввел санкции против ФСБ, Совфеда и Минфина России...
• Сергей Шойгу озвучил главную задачу ВС России на 2023 год...
• Компания Samsung представила среднебюджетный смартфон Samsung Galaxy A14 5G...
• Что происходит после ввода войск России на Украину. День 334-й // Онлайн-трансляция: последние новости и заявления 23 января...
• Что можно сделать, пока готовит мультиварка...