Jak může chyba u jednoho dodavatele ovlivnit jedny z největších automobilek světa, které jsou přímými konkurenty? Zveřejněný případ ukazuje, že automobily s internetovou konektivitou mohou být v ohrožení stejně, jako jakákoliv jiná k síti připojená zařízení.
Etický hacker Sam Curry se na svém twitterovém účtu pochlubil, jak se svými kolegy dokázal začátkem letošního roku na dálku odemknout, nastartovat, lokalizovat, blikat a troubit na všechna vzdáleně připojená vozidla Honda, Nissan, Infiniti a Acura, a to zcela neautorizovaně, pouze díky znalosti čísla VIN vozu.
Hackerům stačilo znát VIN kód automobilu a mohli ho na dálku ovládat. Foto: Se souhlasem Nissan
Kdo jsou etičtí hackeři?
Etičtí hackeři, jak jejich označení napovídá, testují zabezpečení nejrůznějších systémů, hledají chyby v jejich zabezpečení a hlásí je provozovatelům. Za svou aktivitu jsou často odměněni přímo vypsanými programy značek, nebo se na odměně snaží domluvit napřímo. Najde se i řada takových, kteří vše mají jako koníček a odměny nechtějí.
BMW, Honda, Hyundai… Chyba se týkala řady automobilek
Podle Curryho stálo za objevem velké bezpečnostní díry více menších chyb, které se svými kolegy postupně objevil u automobilů různých automobilek. Začali pátrat, kdo poskytuje automobilkám telematické služby umožňující vzdálenou komunikaci s vozem. Po prozkoumání zdrojového kódu a dokumentace telematiky vozidel nemohli přehlédnout četné odkazy na společnost SiriusXM.
After pivoting to this domain in particular, we found a large number of references to it in the NissanConnect app and decided to dig as deep as we could.
We reached out to someone who owned a Nissan, signed into their account, then began inspecting the HTTP traffic. pic.twitter.com/Q1XzedzW0h
— Sam Curry (@samwcyo) November 30, 2022
Jak Curry zmiňuje ve svém příspěvku, „Našli jsme webové stránky SiriusXM Connected Vehicle a všimli jsme si následující citace: SiriusXM je předním poskytovatelem služeb pro připojená vozidla pro značky Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru a Toyota.“ Tolik značek pod jednou střechou hackeři nečekali. Vše nasvědčovalo tomu, že jde o skvělý úlovek.
„V tomto okamžiku jsme zahájili skenování a prohledávali internet ve snaze najít co nejvíce domén vlastněných společností SiriusXM a navíc jsme zpětně analyzovali všechny mobilní aplikace zákazníků společnosti SiriusXM, abychom zjistili, jak vzdálená správa skutečně funguje.“
„Během scanování jsme našli doménu „telematics.net“ a začali ji zkoumat. Podle toho, co jsme zjistili, se zdálo, že zajišťuje služby pro registraci vozidel do funkce vzdálené správy SiriusXM,“ upřesňuje Curry.
Následně hackeři našli v aplikaci NissanConnect velké množství odkazů na doménu telematics.net a rozhodli se ji prozkoumat. Oslovili tak někoho, kdo vlastní vůz značky Nissan, přihlásili se k jeho účtu a poté začali kontrolovat HTTP provoz mezi aplikací a servery služby. Metodou pokus-omyl zjistili, jak dochází ke komunikaci automobilů se servery a jakým způsobem probíhá ověřování.
We took the authorization bearer and used it in an HTTP request to fetch the user profile. It worked!
The response contained the victim's name, phone number, address, and car details.
At this point, we made a simple python script to fetch the customer details of any VIN number. pic.twitter.com/J2eK5Y3qAB
— Sam Curry (@samwcyo) November 30, 2022
Stačilo znát VIN kód a hackeři mohli ovládat automobil na dálku
Nebylo těžké oveřit, že má systém řadu nedostatků. Hackeři např. zjistili, že jsou pouze se znalostí VIN kódu automobilu schopni zasílat příkazy na dálku. Problémem nebylo odemknutí či zamknutí, troubení, blikání světel a řada dalších úkonů.
Jak ale padlo výše, v tomto případě šlo naštěstí o hackery etické. Ti tak společnosti SiriusXM svůj objev nahlásili a ta následně provedla nezbytné úpravy ve svých systémech. Případ je hezkou ukázkou etického hackingu a zároveň poukazuje na fakt, že chyba na straně jednoho dodavatele může mít vliv na nezanedbatelnou část celého promyslu.
V době chytrých zařízení připojených k internetu se podobných případů odehrávají každý týden tisíce. Bohužel, v některých případech, jako byl např. tento, se uživatel prakticky nemůže bránit. Snad jen vypnutím internetového připojení, čímž by se ochudil o řadu užitečných funkcí.
Zdroj: Sam Curry, Twitter
