SiriusXM, MyHyundai Car Apps präsentieren Personenkraftwagen-Hacking welcher nächsten Generation

Es wurde festgestellt, dass mindestens drei mobile Apps, die darauf zugeschnitten sind, dass Lenker ihre Fahrzeuge aus welcher Ferne starten oder entriegeln können, Sicherheitslücken sein Eigen nennen, die es nicht authentifizierten böswilligen Arten zuteilen könnten, ohne Unterschied aus welcher Ferne zu tun. Forscher sagen, dass die Sicherung von APIs zu Gunsten von selbige Klasse von leistungsstarken Apps die nächste Winkel nebst welcher Verhinderung von Hackerangriffen gen vernetzte Autos ist.

Laut Yuga Labs hätten autospezifische Apps von Hyundai und Schöpfungsgeschichte sowie die intelligente Fahrzeugplattform SiriusXM (die von verschiedenen Autoherstellern verwendet wird, darunter Acura, Honda, Nissan, Toyota und andere) es Angreifern zuteilen können, den Datenverkehr zwischen den Apps abzufangen und Fahrzeuge, die nachher 2012 hergestellt wurden.

Hyundai-Apps zuteilen die Fernsteuerung des Fahrzeugs

In Bezug gen die MyHyundai- und MyGenesis-Apps hat eine Untersuchung welcher API-Aufrufe welcher Apps gezeigt, dass die Eigentümervalidierung durch Abgleich welcher E-Mail-Dienst-Schreiben des Fahrers mit verschiedenen Registrierungsparametern erfolgt. Nachdem sie mit möglichen Möglichkeiten herumgespielt hatten, selbige „Vorflugkontrolle“, wie die Forscher es nannten, zu unterlaufen, entdeckten sie eine Angriffsmöglichkeit:

„Durch dies Hinzufügen eines CRLF-Zeichens am Finale einer schon bestehenden E-Mail-Dienst-Schreiben des Opfers während welcher Registrierung konnten wir ein Konto erstellen, dies die Prüfung des … E-Mail-Dienst-Parametervergleichs umging“, erklärten sie in a Warteschlange von Tweets Zehren detailliert charakterisieren. Von dort aus konnten sie die vollständige Leistungsnachweis obig die Befehle welcher Apps erlangen – und obig dies Personenkraftwagen. Angreifer konnten nicht nur dies Personenkraftwagen starten, sondern nachrangig die Hupe betätigen, die Klimaanlage steuern und den Kofferraum öffnen.

Sie waren nachrangig in welcher Standpunkt, den Sturm zu automatisieren. „Wir nach sich ziehen nicht mehr da erforderlichen Anfragen genommen, um dies auszunutzen, und sie in ein Pythonschlange-Skript gesteckt, dies nur die E-Mail-Dienst-Schreiben des Opfers benötigte“, twitterten sie. „Nachdem Sie selbige eingegeben nach sich ziehen, könnten Sie dann nicht mehr da Befehle gen dem Fahrzeug klarmachen und dies eigentliche Konto übernehmen.“

„Viele Personenkraftwagen-Hacking-Szenarien sind dies Ergebnis eines API-Sicherheitsproblems, nicht eines Problems mit welcher mobilen App selbst“, sagt Scott Gerlach, Mitbegründer und CSO nebst StackHawk. „Jedweder sensiblen Information und Funktionen einer mobilen App Ergehen sich in welcher API, mit welcher eine App kommuniziert, danach muss dies sicher sein. Dieser Vorteil ist, dass dies eine sehr gezielte Klasse von Sturm ist und sich nur schwergewichtig massenhaft klarmachen lässt. Dieser Nachteil ist es immer noch sehr invasiv zu Gunsten von den anvisierten Autobesitzer.”

Dies Ergebnis zeigt die Kritizität von API-Sicherheitstests, sagt Gerlach.

„Dies Testen von APIs gen OWASPs Top-10-Schwachstellen, darunter unsicherer direkter Objektzugriff und fehlerhafte Funktionsautorisierung, ist kein netter Schritttempo mehr im Lebenszyklus welcher Softwareentwicklung“, bemerkt er. „Die Klasse und Weise, wie vernetzte Autos heute verkauft werden, ähnelt einem Kunden, welcher ein Kontoverbindung eröffnet und dann betraut wird, seinen Online-Zugang alleinig gen welcher Grundlage welcher Kontonummer zu erstellen. Jeder könnte selbige Information mit wenig Pracht finden und Ihr Vermögen stecken Risiko, weil welcher Verifizierungsprozess nicht vernünftig war.”

SiriusXM-basiertes Personenkraftwagen-Hacking

Während die meisten Menschen SiriusXM qua Satellitenradio-Moloch Kontakt haben, ist dies Unternehmen nachrangig ein Telemetrieanbieter zu Gunsten von vernetzte Fahrzeuge, dies 12 Mio. vernetzte Autos mit Funktionen wie Fernstart, GPS-Ortung, Fernklimasteuerung und mehr versorgt. Eine breite Palette von Autoherstellern, darunter Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Nation Rover, Lexus, Nissan, Subaru und Toyota, nutzen laut ihrer Website nicht mehr da die Connected-Car-Plattform SiriusXM.

Die Yuga-Forscher untersuchten eine welcher mobilen Apps, die SiriusXM unterstützt, die NissanConnect-App, und stellten wacker, dass sie gefälschte Hypertext Transfer Protocol-Anfragen an die NissanConnect-App senden konnten, wenn sie die Fahrzeugidentifikationsnummer eines Ziels (VIN, die durch die Windschutzscheibe welcher meisten Autos visuell war) kannten Endpunkt und erhalten Sie eine Vielzahl von Informationen, einschließlich des Namens, welcher Telefonnummer, welcher Schreiben und welcher Fahrzeugdetails eines Fahrers, die verwendet werden könnten, um obig die App Fernbefehle zu Gunsten von dies Personenkraftwagen auszuführen.

Von dort aus bauten sie ein weiteres automatisiertes Skript. „Wir nach sich ziehen ein einfaches Pythonschlange-Skript erstellt, um die Kundendaten einer beliebigen VIN-Nummer abzurufen“, sagten sie in a Tweet-Thread.

„C/o dieser neuesten Sicherheitslücke geht es nicht um eingebettete Systeme oder die Herstellung, sondern um die Webapplikation selbst“, sagt Connor Ivens, Competitive Intelligence Manager for Security nebst Tanium, gegensätzlich Dark Reading. „Forscher verwenden die Fahrzeug-VIN-Nummern qua Primärschlüssel welcher Kunden-ID und senden POST-Anforderungen, um vereinigen Träger-Token zu generieren. Dies ermöglicht Ihnen die administrative Leistungsnachweis, um andere Anforderungen obig dies Personenkraftwagen zu stellen.“

Jedermann weiß, dass die Sicherheit mobiler Apps verstärkt werden muss. “Dieser App-Tafelgeschirr selbst ist sozusagen ein nachträglicher Gedanke des Kaufprozesses”, sagt Gerlach. „Automobilhersteller sollen tiefer darüber nachdenken, wie sie den Connected Tafelgeschirr besser in den Kauf- und Validierungsprozess zu Gunsten von den Kunden integrieren können.“

Erwarten Sie vereinigen Unfall mit Sicherheitslücken im Personenkraftwagen

Yuga teilte die Fehler sowohl Hyundai qua nachrangig SiriusXM mit, die umgehend Patches herausgaben. Es fanden keine realen Angriffe statt, zwar Forscher sagen Dark Reading, dass selbige Klasse von Fehlerentdeckungen weiterhin in den Vordergrund treten werden, insbesondere wenn Fahrzeuge immer vernetzter werden und die Schwierigkeit welcher Onboard-Software und welcher Remote-Funktionen zunimmt.

Während vernetzte und autonome Fahrzeuge verwandt wie Unternehmensumgebungen eine erweiterte Angriffsfläche nach sich ziehen, nach sich ziehen betroffene Verbraucher nicht ein ganzes Cybersicherheitsteam, dies zu Gunsten von sie arbeitet, sagt Karen Walsh, Expertin zu Gunsten von Cybersicherheitscompliance und Vorstandsvorsitzender nebst Allegro Solutions. Von dort liegt die Verantwortung nebst den Autoherstellern, es besser zu zeugen.

„Ob es welcher Industriezweig gefällt oder nicht, sie wird härter funktionieren sollen, um diesen Angriffsvektor abzusichern. Dies wird die Industriezweig nachrangig aus Sicht welcher Supply Chain viel stärker berechnen. Es sind nicht nur die Fahrzeuge, die gesichert werden sollen, zwar all die zusätzlichen Technologien – in diesem Kernpunkt Infotainment wie SiriusXM – die in jede Sicherheitsinitiative einbezogen werden sollen.“

Weiterentwicklung welcher Jeep-Hacking-Demonstration

Wir könnten nachrangig vereinigen Zunahme nebst welcher Suche nachher solchen Fehlern sehen. Seit dieser Zeit die berüchtigten Jeep-Hacking-Demos 2015/2016 von Charlie Miller und Chris Valasek nebst Black Hat USA potenzielle physische Schwachstellen in vernetzten Autos ans Licht brachten, ist dies Feld des Automotive-Hacking explodiert.

„Die Jeep-Hacking-Demonstration beinhaltete dies Zerkleinern obig Mobilfunkmodems (und Mobilfunkunternehmen nach sich ziehen infolgedessen wenige Schlüsselfunktionen deaktiviert)“, sagt John Bambenek, Hauptjäger von Bedrohungen nebst Netenrich. „Web-Apps nach sich ziehen ihre eigenen Sicherheitsbedenken, die sich von diesem Kommunikationsweg unterscheiden. Selbst muss nicht den gesamten Kommunikations-Stack besitzen, ich muss nur eine Schwachstelle finden, und die Forscher finden sie weiterhin. Die Wirklichkeit ist, dass die Gesamtheit zusammengefügt wird mit defektem Klebeband und Sicherungsdraht … dies war von jeher so.”

Mike Parkin, Senior Technical Engineer nebst Vulcan Cyber, sagt, dass Mobile die nächste Grenze ist.

„Es war reizend genug, qua Bedrohungsakteure nur Schlüsselanhänger mit weniger Reichweite und begrenzten Fähigkeiten angriffen“, sagt er zu Dark Reading. “Jetzt, da Autos genauso eine mobile Computerplattform wie ein Fahrzeug sind, wird es nur noch herausfordernder.”

Er fügt hinzu: „Wenn ein Angreifer ein mobiles Gerät kompromittieren kann, könnte er unter Umständen viele welcher Anwendungen darauf kontrollieren, einschließlich welcher Fahrzeugsteuerungs-App eines Benutzers. Die Kontrollkanäle zwischen dem mobilen Gerät eines Benutzers, den Cloud-Diensten des Herstellers und dem Fahrzeug selbst sind ein weiterer Angriffsflächen-Bedrohungsakteure nutzen könnten.”