Bezpečnostní expert odhalil závažné bezpečnostní nedostatky v systému automobilky určeném pro dealery, které mohly ohrozit tisíce zákazníků. Útočníci mohli získat administrátorské pravomoci, odemykat vozidla a sledovat jejich přesnou polohu.
Bezpečnostní výzkumník Eaton Zveare z technologické společnosti Harness objevil alarmující bezpečnostní chyby v online portálu neupřesněného výrobce automobilů. Tyto zranitelnosti umožňovaly vzdálené odemykání vozidel zákazníků odkudkoliv na světě a přístup k citlivým osobním údajům. Odborník již v minulosti nalezl podobné chybu v systémech automobilky Toyota a nyní varuje před podobnými hrozbami s nárůstem počtu vozidel s nepřetržitou konektivitou. O svém objevu promluvil na bezpečnostní konferenci DEF CON 33.
I could use this access to remote unlock/start anyone's car and that is only the tip of the iceberg. The scale of the vulnerability was so immense that I felt for the first time this was potentially DEF CON worthy.
— Eaton Z. (@XeEaton) July 3, 2025
Neomezený přístup k dealerskému systému
Zveare na začátku roku 2025 zjistil, že mu chyby v přihlašovacím systému portálu jednoho z dealerů umožnily vytvořit administrátorský účet s neomezenými právy. Ten mu poskytl kontrolu nad více než tisícovkou dealerství napříč Spojenými státy a jejich vozidly.
„Nikdo ani neví, že si prohlížíte všechna data dealerství, jejich finance, soukromé informace a všechny zákazníky,“ popsal podle serveru TechCrunch Zveare rozsah získaných pravomocí.
Vyhledávání zákazníků pomocí evidenčního čísla
Jedna z nejznepokojivějších funkcí portálu umožňovala vyhledávání informací o zákaznících a jejich vozidlech pouze na základě VIN kódu (jedinečného identifikačního čísla vozidla). Zveare tuto možnost ukázal v praxi, když z VIN kódu na čelním skle auta na veřejném parkovišti snadno dokázal identifikovat majitele vozidla.
Systém také umožňoval vyhledávání pomocí jména a příjmení zákazníka, což představovalo další bezpečnostní riziko.
Vzdálené ovládání vozidel
Nejzávažnějším objevem byla možnost připojit jakékoliv vozidlo k mobilnímu účtu, což zákazníkům umožňuje vzdálené ovládání určitých funkcí auta prostřednictvím aplikace, a to včetně odemykání a startování.
S auty mohl dělat cokoliv. Problém však odborník rychle nahlásil automobilce a ta ho následně opravila. Foto: Freepik
Zveare tuto funkcionalitu otestoval se souhlasem svého přítele. Při převodu vlastnictví automobilu na svůj účet systém vyžadoval pouze prohlášení o oprávněnosti uživatele k tomuto kroku. V podstatě tak potenciálnímu útočníkovi stačilo odškrtnout příslušný checkbox.
„Tohle bych mohl udělat v podstatě komukoli jen na základě znalosti jména, což mě trochu děsí,“ komentoval Zveare. „Nebo bych mohl jednoduše vyhledat aktuální polohu automobilu.“
Širší bezpečnostní problémy
Portál určený pro dealery trpěl dalšími systémovými nedostatky. Funkce jednotného přihlášení (SSO) umožňovala přístup k propojeným systémům různých dealerství. Administrátoři mohli snadno získat práva jiných uživatelů a získat tak přístup k jejich systémům bez nutnosti znát jejich přihlašovací údaje.
Moderní automobily s nepřetržitou konektivitou budou čelit řadě útoků. Foto: Unsplash
Zveare získal přístup k osobním údajům zákazníků, finančním informacím a telematickým systémům umožňujícím sledování polohy vozidel v reálném čase.
Dotčená automobilka zareagovala na Zvearovo hlášení rychle a chyby byly opraveny hned v únoru 2025. Společnost nenalezla důkazy o předchozím zneužití zranitelností, což naznačuje, že Zveare byl první, kdo je objevil a nahlásil. Její jméno se tak rozhodl nezveřejnit.
Zdroj: TechCrunch
