Hakerzy mogą zdalnie dostać się do naszego samochodu
Eksperci z Yuga Labs odkryli poważny exploit w oficjalnej aplikacji marki Hyundai, który umożliwia hakerom odblokowanie zamków oraz uruchomienie silnika. Producent już podjął działania, by temu zaradzić.
Wiele lat temu kradzież pojazdu była niezwykle prosta, gdyż nie stosowano zbyt wielu zabezpieczeń mających to uniemożliwić. Okazuje się, że w dzisiejszych autach naszpikowanych elektroniką również nie jest to trudne.
Eksperci z Yuga Labs twierdzą, że znaleźli poważną lukę w oficjalnych aplikacjach marek Hyundai i Genesis o nazwie MyHyundai oraz MyGenesis. Exploit umożliwia autoryzację użytkownika i pozwala zdalnie otworzyć i zamknąć drzwi oraz uruchomić i wyłączyć silnik pojazdu.
Exploit w aplikacji firmy Hyundai
Po przechwyceniu ruchu generowanego z obu aplikacji badacze przeanalizowali go i wyodrębnili wywołania API w celu dalszego zbadania. Bliższa analiza wykazała, że weryfikacja użytkownika odbywa się na podstawie adresu email. Odkryto także, że MyHyundai nie wymaga potwierdzenia rejestracji mailem. Pozwoliło to utworzyć nowe konto używając adresu właściciela z dodatkowym znakiem kontrolnym na końcu. Specjaliści postanowili sprawdzić, czy uda im się w ten sposób dostać do pojazdu wypożyczonego do badań. Po kilku sekundach bez trudu odblokowali jego zamki.
To jeszcze nie koniec, eksperci odkryli bowiem, że podobny atak można przeprowadzić za pośrednictwem platformy inteligentnego pojazdu SiriusXM. Używany w autach wielu marek system, pozwolił zdalnie otworzyć auto, uruchomić jego silnik, błysnąć światłami, zatrąbić oraz zlokalizować go.
Yuga Labs przeanalizowało aplikacje firm takich jak Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru i Toyota. Znalazło w nim zaimplementowaną technologię SiriusXM służącą do zdalnego zarządzania funkcjami auta.
Hyundai wydał już oświadczenie, w którym poinformował o zatrudnieniu zewnętrznych ekspertów do zbadania rzekomej luki w zabezpieczeniach. Z dochodzenia wynika, że nie ma dowodów na to, iż z jej pomocą hakerzy przejęli pojazdy oraz konta klientów. Firma podkreśla również, że aby ją wykorzystać trzeba znać adres email powiązany z konkretnym kontem i pojazdem, a także posiadać skrypt zastosowany przez badaczy. Innymi słowy zagrożenie przejęcia samochodu jest nikłe. Mimo to producent podjął działania, aby podnieść bezpieczeństwo pojazdów.
Technogadżet w liczbach