Один и тот же баг в штатной работе мобильных приложениий MyHyundai и MyGenesis позволил хакерам удалённо разблокировать и заводить автомобили Hyundai и Genesis, а также ещё несколько марок машин.
Эксперты Yuga Labs выяснили, что могут обойти проверку подлинности в текущей реализации системы работы мобильных приложений MyHyundai и MyGenesis и получить доступ к бортовым системам автомобилей.
После перехвата трафика, генерируемого двумя приложениями, исследователи проанализировали его и смогли извлечь API-вызовы для дальнейшего изучения. Они обнаружили, что проверка владельца выполняется на основе адреса электронной почты пользователя, который был включён в тело JSON запросов POST.
Затем аналитики обнаружили, что MyHyundai не требует подтверждения по электронной почте при регистрации. Они создали новую учётную запись, используя адрес электронной почты настоящего владельца с дополнительным контрольным символом в конце.
После этого эксперты отправили HTTP-запрос на сервер Hyundai, содержащий поддельный адрес в токене JSON и адрес жертвы в теле JSON, минуя проверку достоверности. Чтобы убедиться, что они могли использовать этот доступ для атаки на автомобиль, они попытались разблокировать автомобиль Hyundai, используемый для исследования. Через несколько секунд машина разблокировалась.
В итоге эксперты сделали скрипт на Python, которому для атаки и взлома машины требовался только адрес электронной почты пользователя.
«Первый подход, о котором мы подумали, был фаззинг регистрации учётной записи пользователя Hyundai. Сразу же мы заметили, что сервер не требует от пользователей подтверждения адреса электронной почты. Кроме того, оказалось, что существует проблема с проверкой регулярного выражения, которая допускает использование управляющих символов в электронной почте при регистрации», — пояснили в Yuga Labs.
Эксперты Yuga Labs обратились к производитель ПО для MyHyundai и MyGenesis. Разработчик платформы умных автомобилей SiriusXM в курсе проблемы и выпустил исправление. Ситуация с ошибкой в коде оказалась глобальной и затрагивает также Honda, Nissan, Infiniti и Acura. В их случае для удалённой кражи авто нужно знать VIN-номер, который обычно не скрывается и доступен всем под лобовым стеклом или на сайтах объявлений.
SiriusXM, среди прочего, является поставщиком транспортных телематических услуг, которыми пользуются более 15 производителей автомобилей. Компания управляет 12 млн подключённых автомобилей, которые используют более 50 услуг на единой платформе.
Представители Hyundai пояснили, что для использования предполагаемой уязвимости требовалось знать адрес электронной почты, связанный с конкретной учётной записью Hyundai и автомобилем, а также запускать конкретный веб-скрипт, использованный исследователями. В компании уже исправили ошибку совместно с SiriusXM.
