„Добри“ хакери пробиват защитите на 7 водещи автоконцерна. Белите хакери получават достъп до данни на още 7 автомобилни производители
Автохакери проникнаха в информацията за клиентите и служителите на BMW, Rolls-Royce, Jaguar-Land Rover, Mercedes-Benz, Porsche, Ferrari и Ford. Група хакери с бели шапки разбиха клиентските и задните операции на различни автомобилни производители, включително BMW, Ferrari, Ford, Jaguar-Land Rover, Mercedes-Benz, Porsche и Rolls-Royce.
Сам Къри каза пред Automotive News, че той и неговите колеги изследователи на автомобилната сигурност сега ще се съсредоточат върху уязвимостите в свързаните с автомобилите услуги, които големите доставчици на телекомуникации предлагат в индустрията.
Автохакери проникнаха в информацията за клиентите и служителите на BMW, Rolls-Royce, Jaguar-Land Rover, Mercedes-Benz, Porsche, Ferrari и Ford. Група хакери с бели шапки разбиха клиентските и задните операции на различни автомобилни производители, включително BMW, Ferrari, Ford, Jaguar-Land Rover, Mercedes-Benz, Porsche и Rolls-Royce.
Сам Къри каза пред Automotive News, че той и неговите колеги изследователи на автомобилната сигурност сега ще се съсредоточат върху уязвимостите в свързаните с автомобилите услуги, които големите доставчици на телекомуникации предлагат в индустрията.
Констатациите са продължение на откритието на групата в края на миналата година за пропуски в телематичната услуга на SiriusXM, които създадоха пробиви в модели на Honda, Hyundai, Nissan и Toyota.
Хакерите са получили достъп до този последен кръг от уязвимости, включително подробна информация за клиента и вътрешни административни функции, които групата не разкри до по-рано този месец поради самоналожен 90-дневен мораториум, Сам Къри от Омаха, Небраска, инженер по сигурността, сподели за Automotive News.
Мораториумът, продиктуван от политиките на екипа за изследване на сигурността на Google Project Zero, има за цел да изрази намерение за разкриване, но също така да даде време за работа с доставчиците за запълване на пропуските в сигурността, каза Къри. Изследователите също са хакнали доставчиците на услуги Spireon и Reviver, каза Къри.
Ford, Mercedes-Benz, Reviver и Spireon казаха пред Automotive News, че са затворили пробивите.
Ford заяви, че е отстранил проблема, след като е научил за проблема чрез своята програма за "награждаване на грешки".
Говорителят на Porsche Cars North America Маркъс Кабел каза, че компанията постоянно наблюдава своите системи. „Ние приемаме всякакви индикации за уязвимости много сериозно“, каза той. „Нашият основен приоритет е да предотвратим неоторизиран достъп до системите в нашите превозни средства от трети страни.“
BMW, Ferrari и Jaguar-Land Rover не отговориха на въпросите на Automotive News за пробива в сигурността.
SiriusXM хак отключва и пали коли. Призив за събуждане за индустрията
Ръководители на фирми за автомобилна киберсигурност казаха пред Automotive News, че изследванията на Curry group са важни поради усилията на индустрията за дигитализация и стремежа да се предлагат софтуерни абонаментни услуги в превозни средства.
Въпреки че производителите на автомобили бързо преминаха към електрификация, автономна технология и интернет свързаност, сигурността понякога остава на заден план пред тези усилия, каза Ронен Смоли, главен изпълнителен директор на израелската компания за автомобилна киберсигурност Argus.
„Така че това, което хакерите с бели шапки правят, е основно да открият всякакви грешки и проблеми или уязвимости в автомобила и да уведомят производителите на автомобили, което е нещо добро“, допълни Смоли.
Изследването на Къри е сигнал за събуждане към автомобилната индустрия и политиците в САЩ, каза Шира Сарид-Хаусирер, вицепрезидент по маркетинга в Upstream Security, друга израелска фирма за автомобилна киберсигурност.
„Изследванията на Сам Къри са уникални, защото бяха сравнително лесни за извършване и той успя да получи контрол над милиони модели от множество OEM производители и да проникне в тях дистанционно“, каза Сарид-Хаусирер.
Хаковете на групата Curry са подобни на домашен крадец, който ограбва милиони домове едновременно, за разлика от едно жилище, допълни Сарид-Хаусирер.
Позовавайки се на доклад, съставен от Upstream, Сарид-Хаусирер сподели, че броят на атаките на интерфейса за програмиране на автомобилни приложения е скочил с 380 процента през 2022 г. спрямо 2021 г. Това се случи, въпреки че производителите на автомобили използват усъвършенствани защити за киберсигурност на информационните технологии, добави тя.
Въздействаща информация и телематика
Сред нарушенията Къри каза, че групата е успяла да поеме всеки клиентски акаунт на Ferrari. Той също така може да открие идентификационни данни за конфигурация, използвани за телематика на автомобили Ford. Групата също хакна част от телематиката на Porsche, позволявайки на колата да проследява превозни средства, да изпраща команди за превозни средства и да има достъп до информация за клиентите. Хаковете на BMW и Mercedes-Benz са проникнали в информация, която може да е била използвана от хакери с черни шапки, за да получат дълбок достъп до вътрешните операции на тези автомобилни производители, каза Къри.
„Конкретно за BMW имахме пълен достъп до информацията за клиентите на ниво организационни служители“, каза той. „Можехме да влезем в почти всяко приложение като всеки потребител.“
„При Mercedes-Benz получихме достъп до техните вътрешни инструменти за чат и много други вътрешни приложения“, каза Къри.
Той допълни, че пробивът в задната част на Ferrari също е забележителен.
„Едно нещо, което беше доста забавно, беше уязвимостта на Ferrari“, каза Къри. „Имахме всички, които си купиха Ferrari, и можехме да получим пълното им име, адрес, телефонен номер, физически адрес и информация за тяхното превозно средство.“
„Можем просто да вземем нечий акаунт във Ferrari и да се преструваме, че сме негови, и да извлечем документите за продажба“, добави той.
Групата също наруши задната част на Spireon. Spireon предоставя независима от устройството телематика за превозни средства от флота и превозни средства, работещи на неговите платформи OnStar и GoldStar.
„Мисля, че хората трябва да се тревожат за уязвимостите на Spireon“, каза Къри. „Те имат 15 милиона различни превозни средства. Spireon разполага с много превозни средства за флота и крайни потребители с GoldStar или OnStar и тонове други решения за превозни средства. „Можехме да изпращаме команди до колите, за да деактивираме стартера, дистанционно да го отключваме, дистанционно да го стартираме и имахме пълен административен достъп, където всъщност можехме да правим каквото си поискаме с тези устройства“, заяви той. Къри каза, че уязвимостите на Spireon са тревожни, тъй като много собственици на превозни средства, дори и да не са абонирани за OnStar, имат услугата на колите си. „Spireon е толкова дълбоко вграден в автомобилната екосистема – те имат толкова много различни функционалности, които предоставят на толкова много различни клиенти, милиони потребители и милиони превозни средства“, каза Къри. „Ако искахме да се поканим в щатската полиция в Синсинати, можехме да деактивираме дистанционно полицейски коли и стартери на линейки и други подобни с този пробив.“
От Spireon декларираха, че неговите специалисти по киберсигурност са оценили "предполагаемите уязвимости на системата и незабавно са приложили коригиращи мерки до необходимата степен. Ние също така предприехме проактивни стъпки за по-нататъшно укрепване на сигурността в нашето продуктово портфолио като част от нашия продължаващ ангажимент към нашите клиенти като водещ доставчик на следпродажбени услуги телематични решения“.
Curry също хакна Reviver, компания, която продава цифрови регистрационни табели на потребители и автопаркове. Той успя да получи пълен „супер административен достъп“, за да управлява всички потребителски акаунти и превозни средства на Reviver.
Функциите, които можеше да изпълнява дистанционно, включваха проследяване на физическото GPS местоположение на всички клиенти на Reviver. Curry group може да актуализира състоянието на всяко превозно средство на „откраднато“, което актуализира регистрационния номер и информира правоприлагащите органи, и да има достъп до всички потребителски записи. Хакерите могат да определят какви превозни средства притежават хората, техния физически адрес, телефонен номер и имейл адреси.
Говорител на Reviver каза, че ръководителите на компанията са се срещнали с Curry group и специалисти по сигурността на данните и поверителността, за да коригират уязвимостите на компанията. „Нашето разследване потвърди, че с тази потенциална уязвимост не е злоупотребено. Информацията за клиентите не е засегната и няма доказателства за продължаващ риск, свързан с този доклад“, каза Reviver. „Като част от нашия ангажимент за сигурност и поверителност на данните, ние също използвахме тази възможност, за да идентифицираме и приложим допълнителни предпазни мерки, за да допълним нашите съществуващи, значителни защити.“
Къри каза пред Automotive News, че той и колегите му от Curry group са изследователи на автомобилната сигурност сега ще се съсредоточат върху уязвимостите в свързаните с автомобилите услуги, които големите доставчици на телекомуникации предлагат в индустрията. „Наистина сме любопитни за AT&T и Verizon“, каза Къри. „Така че мисля, че това би било нещо забавно за изследване, защото те имат всички тези неща за свързани превозни средства, но действителните им SIM карти са наистина интересни.“