В Mercedes, Ferrari и других роскошных автомобилях были обнаружены серьезные недостатки в системе безопасности, которые могли позволить злоумышленникам украсть личную информацию владельцев, отслеживать их транспортные средства, а в некоторых случаях даже разблокировать и завести автомобили.
Недостатки затронули почти два десятка марок автомобилей, в том числе такие ведущие бренды, как BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota. , и Бытие.
Помимо производителей автомобилей, пострадали производители автомобильных технологий Spireon и Reviver, а также поставщики потоковых услуг SiriusXM.
Доступ к личным данным
Недостатки были обнаружены исследователем кибербезопасности Сэмом Карри, который имеет опыт обнаружения уязвимостей в подключенных автомобилях. В начале декабря 2022 года он обнаружил уязвимость в SiriusXM, которая позволяла злоумышленникам получать доступ к подключенным автомобилям.
При этом у разных производителей были разные уязвимости. У BMW и Mercedes-Benz была ошибочная функция единого входа (SSO), которая позволяла злоумышленникам получать доступ к внутренним системам, предоставляя им доступ к экземплярам GitHub, частным чатам, серверам, экземплярам AWS и многому другому.
С BMW потенциальные злоумышленники могли получить доступ к внутренним дилерским порталам, номерам VIN автомобилей, а также к документам о продажах с конфиденциальными данными владельца.
Помимо двух основных брендов, владельцы автомобилей KIA, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Roll Royce, Ferrari, Ford, Porsche и Toyota могли иметь свою личную информацию (PII ) слил.
Ferrari также сильно пострадала, поскольку уязвимость SSO позволяла злоумышленникам получать доступ, изменять или удалять любую учетную запись клиента Ferrari. Они могли даже представить себя автовладельцами. В случае с Porsche недостатки в его телематических системах позволили злоумышленникам определить точное местоположение автомобилей и даже отправить им команды.
Все затронутые поставщики были уведомлены о результатах и с тех пор исправили недостатки.
Поставщик услуг GPS-слежения за транспортными средствами Spireon, предположительно используемый более чем в 15 миллионах транспортных средств, имел недостаток, который, среди прочего, позволял злоумышленникам разблокировать автомобили, запустить двигатель или отключить стартер.
Чтобы защититься от таких недостатков в будущем, исследователи предлагают владельцам транспортных средств хранить как можно меньше личной информации в транспортных средствах и мобильных приложениях-компаньонах.
С помощью: Пищит Компьютер (откроется в новой вкладке)
