2012 年之后,移动应用程序中的漏洞使现代和捷恩斯汽车模型暴露在允许解锁甚至启动车辆的远程攻击之下。
Yuga Labs 的安全研究人员发现了这些问题,并在其他制造商(丰田、本田、FCA、日产、Acura 和 Infinity)使用的 SiriusXM“智能汽车”平台中探索了类似的攻击面,这些平台允许他们“远程解锁、启动、定位、闪烁并按喇叭”。
目前,研究人员尚未针对他们的发现发表详细的技术文章,但在 Twitter 上的两个单独线程(现代、SiriusXM)中分享了一些信息。
现代问题
现代和 Genesis 的移动应用程序名为 MyHyundai 和 MyGenesis,允许经过身份验证的用户启动、停止、锁定和解锁他们的车辆。
在拦截了这两个应用程序产生的流量后,研究人员对其进行了分析,并能够提取 API 调用以供进一步调查。
他们发现所有者的验证是根据用户的电子邮件地址完成的,该电子邮件地址包含在 POST 请求的 JSON 正文中。
接下来,分析师发现 MyHyundai 在注册时不需要电子邮件确认。他们使用目标的电子邮件地址创建了一个新帐户,并在末尾附加了一个控制字符。
最后,他们向现代的端点发送了一个 HTTP 请求,其中包含 JSON 令牌中的欺骗地址和 JSON 正文中的受害者地址,从而绕过了有效性检查。
为了验证他们是否可以使用此访问权限对汽车进行攻击,他们试图解锁用于研究的现代汽车。几秒钟后,车子解锁了。
多步骤攻击最终被嵌入到自定义 Python 脚本中,该脚本只需要目标的电子邮件地址即可进行攻击。
SiriusXM 问题
SiriusXM 是一家被超过 15 家汽车制造商使用的汽车远程信息处理服务提供商。该供应商声称运营着 1200 万辆互联汽车,在统一平台下运行超过 50 种服务。
Yuga Labs 分析师发现,讴歌、宝马、本田、现代、英菲尼迪、捷豹、路虎、雷克萨斯、日产、斯巴鲁和丰田的移动应用程序使用 SiriusXM 技术来实现远程车辆管理功能。
他们检查了 Nissan 应用程序的网络流量,发现只有知道目标的车辆识别号 (VIN),才有可能向端点发送伪造的 HTTP 请求。
对未经授权请求的响应包含目标的姓名、电话号码、地址和车辆详细信息。
考虑到 VIN 很容易在停放的汽车上定位,通常在仪表板与挡风玻璃相接的板上可见,攻击者可以轻松访问它。这些识别号码也可以在专门的汽车销售网站上找到,供潜在买家查看车辆的历史记录。
除了信息公开,请求还可以携带对汽车执行动作的命令。
news.zzqidc.com已联系现代汽车和 SiriusXM 询问是否已针对真实客户利用上述问题,但截至发稿时尚未收到回复。
在发布细节之前,Yuga Labs 将缺陷和相关风险告知了现代汽车和 SiriusXM。两家供应商已修复漏洞。
