SiriusXM, MyHyundai Car Apps muestran la piratería de vehículos de última generación

Se descubrió que al menos tres aplicaciones móviles diseñadas para permitir que los conductores arranquen o desbloqueen sus vehículos de forma remota tienen vulnerabilidades de seguridad que podrían permitir que tipos maliciosos no autenticados hagan lo mismo desde lejos. Los investigadores dicen que asegurar las API para este tipo de aplicaciones poderosas es la siguiente fase para prevenir la piratería de automóviles conectados.

Según Yuga Labs, las aplicaciones específicas para automóviles de Hyundai y Genesis, así como la plataforma de vehículos inteligentes SiriusXM (utilizada por varios fabricantes de automóviles, incluidos Acura, Honda, Nissan, Toyota y otros), podrían haber permitido a los atacantes interceptar el tráfico entre las aplicaciones. y vehículos fabricados después de 2012.

Las aplicaciones de Hyundai permiten el control remoto del automóvil

Cuando se trata de las aplicaciones MyHyundai y MyGenesis, una investigación de las llamadas a la API que realizan las aplicaciones mostró que la validación del propietario se realiza haciendo coincidir la dirección de correo electrónico del conductor con varios parámetros de registro. Después de jugar con posibles formas de subvertir esta "verificación previa al vuelo", como la llamaron los investigadores, descubrieron una vía de ataque:

"Al agregar un carácter CRLF al final de la dirección de correo electrónico de una víctima ya existente durante el registro, pudimos crear una cuenta que omitió la... verificación de comparación de parámetros de correo electrónico", explicaron en un serie de tweets detallando las debilidades. A partir de ahí, pudieron obtener un control total sobre los comandos de las aplicaciones y sobre el automóvil. Además de encender el automóvil, los atacantes podían hacer sonar la bocina, controlar el aire acondicionado y abrir el maletero, entre otras cosas.

También fueron capaces de automatizar el ataque. “Tomamos todas las solicitudes necesarias para explotar esto y las pusimos en un script de Python que solo necesitaba la dirección de correo electrónico de la víctima”, tuitearon. "Después de ingresar esto, puede ejecutar todos los comandos en el vehículo y hacerse cargo de la cuenta real".

“Muchos escenarios de piratería de automóviles son el resultado de un problema de seguridad de la API, no un problema con la aplicación móvil en sí”, dice Scott Gerlach, cofundador y CSO de StackHawk. “Todos los datos confidenciales y las funciones de una aplicación móvil residen en la API con la que se comunica una aplicación, por lo que eso es lo que debe ser seguro. La ventaja es que este es un tipo de ataque muy específico y sería difícil de ejecutar en masa. La desventaja es que sigue siendo muy invasivo para el propietario del automóvil objetivo”.

El hallazgo muestra la importancia de las pruebas de seguridad de API, dice Gerlach.

“Probar las API para las 10 principales vulnerabilidades de OWASP, incluido el acceso directo inseguro a objetos y la autorización de funciones rotas, ya no es un paso agradable en el ciclo de vida del desarrollo de software”, señala. “En la forma en que se venden los autos conectados hoy en día... es similar a un cliente que abre una cuenta bancaria y luego se le asigna la tarea de crear su acceso en línea basándose únicamente en el número de cuenta. Cualquiera podría encontrar esos datos con poco esfuerzo y poner en riesgo sus activos porque el proceso de verificación no fue pensado”.

Hackeo de automóviles basado en SiriusXM

Si bien la mayoría de la gente conoce a SiriusXM como un gigante de la radio satelital, la compañía también es un proveedor de telemetría de vehículos conectados, que brinda a 12 millones de automóviles conectados funciones como arranque remoto, ubicación GPS, controles remotos de temperatura y más. Una amplia gama de fabricantes de automóviles, incluidos Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru y Toyota, utilizan la plataforma de automóviles conectados SiriusXM, según su sitio web.

Los investigadores de Yuga examinaron una de las aplicaciones móviles que utiliza SiriusXM, la aplicación NissanConnect, y descubrieron que si conocían el número de identificación del vehículo de un objetivo (VIN, que es visible a través de los parabrisas delanteros de la mayoría de los automóviles), podían enviar solicitudes HTTP falsificadas al punto final y recuperar una gran cantidad de información, incluido el nombre del conductor, el número de teléfono, la dirección y los detalles del vehículo que podrían usarse para ejecutar comandos remotos en el automóvil a través de la aplicación.

A partir de ahí, construyeron otro script automatizado. “Hicimos una secuencia de comandos de Python simple para obtener los detalles del cliente de cualquier número de VIN”, dijeron en un hilo de tweet.

“Esta última vulnerabilidad no tiene que ver con los sistemas integrados o la fabricación, sino con la aplicación web en sí misma”, le dice a Dark Reading Connor Ivens, gerente de inteligencia competitiva para seguridad en Tanium. “Los investigadores están utilizando los números VIN del automóvil como la clave principal de la identificación del cliente y envían solicitudes POST para generar un token de portador. Esto le permite el control administrativo para emitir otras solicitudes sobre el automóvil”.

Está claro que la seguridad de las aplicaciones móviles debe reforzarse. “El servicio de la aplicación en sí es casi una ocurrencia tardía del proceso de compra”, dice Gerlach. “Los fabricantes de automóviles deben pensar más profundamente sobre cómo integrar mejor el servicio conectado en el proceso de compra y validación para el cliente”.

Espere chocar contra las vulnerabilidades de seguridad del automóvil

Yuga reveló las fallas tanto a Hyundai como a SiriusXM, que rápidamente emitieron parches. No se produjeron ataques en el mundo real, pero los investigadores le dicen a Dark Reading que este tipo de descubrimientos de errores seguirán apareciendo, especialmente a medida que los vehículos se conecten más y aumente la complejidad del software integrado y las capacidades remotas.

Si bien los vehículos autónomos y conectados tienen una superficie de ataque ampliada similar a los entornos empresariales, los consumidores afectados no tienen un equipo de seguridad cibernética completo trabajando para ellos, dice Karen Walsh, experta en cumplimiento de seguridad cibernética y directora ejecutiva de Allegro Solutions. Por lo tanto, la responsabilidad recae en los fabricantes de automóviles para hacerlo mejor.

“Le guste o no a la industria, tendrá que esforzarse más para asegurar este vector de ataque. Esto también supondrá una carga mucho mayor para la industria desde el punto de vista de la cadena de suministro. No son solo los vehículos los que deben protegerse, sino todas las tecnologías adicionales, en este caso, infoentretenimiento como SiriusXM, que deben incluirse en cualquier iniciativa de seguridad”.

Evolucionando más allá de la demostración de pirateo de Jeep

Es posible que también veamos un aumento en la investigación de tales fallas. Desde el infame 2015/2016 Demostraciones de pirateo de jeep de Charlie Miller y Chris Valasek en Black Hat USA sacaron a la luz las vulnerabilidades físicas potenciales en los autos conectados, el campo de la piratería automotriz se ha disparado.

“La demostración de piratería de Jeep involucró la piratería de módems celulares (y las compañías celulares desactivaron algunas funciones clave como resultado)”, dice John Bambenek, principal cazador de amenazas en Netenrich. “Las aplicaciones web tienen sus propias preocupaciones de seguridad distintas de esa vía de comunicación. No tengo que ser dueño de toda la pila de comunicación, solo necesito encontrar un punto débil y los investigadores continúan encontrándolo. La realidad es que todo está armado con cinta adhesiva defectuosa y alambre de achique... siempre lo ha sido”.

Mike Parkin, ingeniero técnico sénior de Vulcan Cyber, dice que los dispositivos móviles son la próxima frontera.

“Ya era bastante desafiante cuando los actores de amenazas solo atacaban llaveros con alcance remoto y capacidad limitada”, le dice a Dark Reading. “Ahora, dado que los automóviles son tanto una plataforma informática móvil como un vehículo, solo se volverá más desafiante”.

Y agrega: “Si un atacante puede comprometer un dispositivo móvil, podría controlar muchas de las aplicaciones en él, incluida la aplicación de control de vehículos de un usuario. Los canales de control entre el dispositivo móvil de un usuario, los servicios en la nube del fabricante y el propio vehículo son otra superficie de ataque que los actores de amenazas podrían aprovechar”.

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
Fuente: https://www.darkreading.com/application-security/siriusxm-myhyundai-car-apps-showcase-next-gen-car-hacking

Inteligencia de datos generativa

SiriusXM, MyHyundai Car Apps muestran la piratería de automóviles de próxima generación

Las aplicaciones de Hyundai permiten el control remoto del automóvil

Hackeo de automóviles basado en SiriusXM

Espere chocar contra las vulnerabilidades de seguridad del automóvil

Evolucionando más allá de la demostración de pirateo de Jeep

RIV Capital informa los resultados financieros del trimestre fiscal y de los nueve meses

Grown Rogue informa resultados financieros auditados

Información más reciente

Una descripción general de los métodos automatizados de captura de datos

Navegando por los acuerdos de arrendamiento comercial de cannabis en Washington

Navegando por los acuerdos de arrendamiento comercial de cannabis en Washington

SES, con sede en París, compra Intelsat por 3.1 millones de dólares mientras las empresas europeas de satélites se consolidan – Tech Startups

Agent Simulator ofrece capacitación para agentes secretos VR FPS en Quest

El fin de la contaminación plástica: cómo las empresas pueden hacer operativa la circularidad | negocio verde