0
0
Pelo menos três aplicativos móveis personalizados para permitir que os motoristas liguem ou desbloqueiem remotamente seus veículos apresentaram vulnerabilidades de segurança que podem permitir que tipos maliciosos não autenticados façam o mesmo à distância. Os pesquisadores dizem que proteger APIs para esses tipos de aplicativos poderosos é a próxima fase na prevenção de hackers de carros conectados.
De acordo com o Yuga Labs, aplicativos específicos para carros da Hyundai e Genesis, bem como a plataforma de veículos inteligentes SiriusXM (usada por várias montadoras, incluindo Acura, Honda, Nissan, Toyota e outras), podem ter permitido que invasores interceptassem o tráfego entre os aplicativos. e veículos fabricados após 2012.
Aplicativos Hyundai permitem controle remoto do carro
Quando se trata dos aplicativos MyHyundai e MyGenesis, uma investigação das chamadas de API feitas pelos aplicativos mostrou que a validação do proprietário é feita por meio da correspondência do endereço de e-mail do motorista com vários parâmetros de registro. Depois de brincar com possíveis maneiras de subverter essa “verificação pré-voo”, como os pesquisadores a chamavam, eles descobriram uma via de ataque:
“Ao adicionar um caractere CRLF no final de um endereço de e-mail de vítima já existente durante o registro, poderíamos criar uma conta que ignorasse a … verificação de comparação de parâmetros de e-mail”, explicaram eles em uma série de tweetsdetalhando os pontos fracos. A partir daí, eles conseguiram obter controle total sobre os comandos dos aplicativos – e sobre o carro. Além de dar a partida no carro, os invasores poderiam acionar a buzina, controlar o ar-condicionado, estourar o porta-malas, entre outras coisas.
Eles também foram capazes de automatizar o ataque. “Pegamos todas as solicitações necessárias para explorar isso e colocamos em um script python que só precisava do endereço de e-mail da vítima”, eles twittaram. “Depois de inserir isso, você pode executar todos os comandos no veículo e assumir o controle da conta real.”
“Muitos cenários de hacking de carros são o resultado de um problema de segurança da API, não um problema com o aplicativo móvel em si”, diz Scott Gerlach, cofundador e CSO da StackHawk. “Todos os dados e funções confidenciais de um aplicativo móvel residem na API com a qual um aplicativo se comunica, então é isso que precisa ser seguro. A vantagem é que esse é um tipo de ataque muito direcionado e seria difícil de executar em massa. A desvantagem é ainda altamente invasivo para o proprietário do carro visado.”
A descoberta mostra a criticidade do teste de segurança de API, diz Gerlach.
“Testar APIs para as 10 principais vulnerabilidades de OWASPs, incluindo acesso direto inseguro a objetos e autorização de função quebrada, não é mais uma etapa interessante no ciclo de vida do desenvolvimento de software”, observa ele. “Na forma como os carros conectados são vendidos hoje… é semelhante a um cliente que abre uma conta bancária e recebe a tarefa de criar seu acesso on-line com base apenas no número da conta. Qualquer um pode encontrar esses dados com pouco esforço e colocar seus ativos em risco porque o processo de verificação não foi pensado.”
Hacking de carro baseado em SiriusXM
Embora a maioria das pessoas conheça a SiriusXM como um rolo compressor de rádio via satélite, a empresa também é uma fornecedora de telemetria de veículos conectados, fornecendo a 12 milhões de carros conectados funções como partida remota, localização GPS, controles remotos de temperatura e muito mais. Uma ampla gama de montadoras, incluindo Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru e Toyota, usam a plataforma de carro conectado SiriusXM, de acordo com seu site.
Os pesquisadores do Yuga examinaram um dos aplicativos móveis que o SiriusXM alimenta, o aplicativo NissanConnect, e descobriram que, se soubessem o número de identificação do veículo de um alvo (VIN, que é visível através dos para-brisas dianteiros da maioria dos carros), eles poderiam enviar solicitações HTTP forjadas para o endpoint e obter uma série de informações, incluindo o nome do motorista, número de telefone, endereço e detalhes do veículo que podem ser usados para executar comandos remotos no carro por meio do aplicativo.
A partir daí, eles construíram outro script automatizado. “Fizemos um script Python simples para buscar os detalhes do cliente de qualquer número VIN”, disseram eles em um tópico no Twitter .
“Esta última vulnerabilidade não é sobre sistemas embarcados ou fabricação, mas sim sobre o próprio aplicativo da web”, disse Connor Ivens, gerente de inteligência competitiva para segurança da Tanium, a Dark Reading. “Os pesquisadores estão usando os números VIN do carro como a chave primária do ID do cliente e enviando solicitações POST para gerar um token de portador. Isso permite que você controle administrativo para emitir outras solicitações sobre o carro”.
É claro que a segurança do aplicativo móvel precisa ser fortalecida. “O serviço de aplicativo em si é quase uma reflexão tardia do processo de compra”, diz Gerlach. “Os fabricantes de automóveis precisam pensar mais profundamente sobre como integrar melhor o serviço conectado ao processo de compra e validação para o cliente”.
Espere colidir com as vulnerabilidades de segurança do carro
Yuga divulgou as falhas para Hyundai e SiriusXM, que prontamente emitiram patches. Nenhum ataque no mundo real ocorreu, mas os pesquisadores dizem ao Dark Reading que esses tipos de descobertas de bugs continuarão a aparecer, especialmente à medida que os veículos se tornam mais conectados e a complexidade do software de bordo e dos recursos remotos aumenta.
Embora veículos conectados e autônomos tenham uma superfície de ataque expandida semelhante a ambientes corporativos, os consumidores afetados não têm uma equipe de segurança cibernética inteira trabalhando para eles, diz Karen Walsh, especialista em conformidade com segurança cibernética e CEO da Allegro Solutions. Assim, o ônus recai sobre as montadoras de fazer melhor.
“Quer a indústria goste ou não, ela precisará trabalhar mais para proteger esse vetor de ataque . Isso também representará um fardo muito maior para a indústria do ponto de vista da cadeia de suprimentos. Não são apenas os veículos que precisam ser protegidos, mas todas as tecnologias adicionais – neste caso infoentretenimento como SiriusXM – que precisam ser incluídas em qualquer iniciativa de segurança.”
Evoluindo além da demonstração de hacking do Jeep
Podemos ver um aumento na investigação de tais falhas também. Desde que as infames demonstrações de hacking de Jeep de 2015/2016 de Charlie Miller e Chris Valasek na Black Hat USA trouxeram à tona possíveis vulnerabilidades físicas em carros conectados, o campo de hacking automotivo explodiu.
“A demonstração de hacking do Jeep envolvia hackear modems de celular (e as empresas de celular desativaram algumas funcionalidades importantes como resultado)”, diz John Bambenek, principal caçador de ameaças da Netenrich. “Os aplicativos da Web têm suas próprias preocupações de segurança distintas desse caminho de comunicação. Não preciso ser o dono de toda a pilha de comunicação, só preciso encontrar um ponto fraco e os pesquisadores continuam a encontrá-los. A realidade é que está tudo junto com fita adesiva defeituosa e arame farpado… sempre foi.”
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, diz que o celular é a próxima fronteira.
“Foi desafiador o suficiente quando os agentes de ameaças estavam apenas atacando os chaveiros com alcance remoto e capacidade limitada”, disse ele a Dark Reading. “Agora, com os carros sendo tanto uma plataforma de computação móvel quanto um veículo, isso só vai ficar mais desafiador.”
Ele acrescenta: “Se um invasor puder comprometer um dispositivo móvel, poderá controlar muitos dos aplicativos nele, incluindo o aplicativo de controle de veículo do usuário. Os canais de controle entre o dispositivo móvel de um usuário, os serviços de nuvem do fabricante e o próprio veículo são outro agentes de ameaças de superfície de ataque poderiam aproveitar.”
FONTE: DARK READING