Beveiligingsonderzoeker Sam Curry en zijn team hebben tal van beveiligingsfouten ontdekt bij diverse autofabrikanten. Door deze problemen was het onder meer mogelijk om de auto te starten, de lichten te ontsteken en de kofferbak te openen. De fabrikanten hebben nog niet gereageerd op de bevindingen.
Sam Curry en zijn team beschrijven de uitkomsten van hun onderzoek in een gedetailleerde en technische blog (1).
Het begon allemaal in de herfst van 2022. Curry en een aantal van zijn vrienden reisden toen van Chicago naar Washington om een conferentie over cybersecurity bij te wonen. Tijdens de trip bezochten ze de University of Maryland. Daar zagen ze tientallen elektrische stepjes verspreid over de campus. Ze besloten om de applicatie van de fabrikant te bestuderen. Tot hun grote verbazing lukte het hen om te claxonneren en de verlichting van de stepjes in te schakelen.
De ethische hackers kwamen op dat moment tot een ingeving. “We hebben een tijdje gebrainstormd en realiseerden ons toen dat bijna elke auto die de afgelopen vijf jaar is gefabriceerd vrijwel dezelfde functionaliteit had”, zo schrijft Curry op zijn blog. Op dat moment startte hij een groepschat en begon iedereen na te denken over mogelijke kwetsbaarheden in de auto-industrie.
Vervolgens gingen Curry en zijn team aan de slag. Wat blijkt: het is niet al te best gesteld met de beveiliging bij diverse autofabrikanten. Ze ontdekten een IDOR-kwetsbaarheid bij Ferrari, Toyota, Jaguar en Land Rover.
‘IDOR’ staat voor Insecure Direct Object References. Deze kwetsbaarheid doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder dat een gebruiker zich hoeft te authenticeren. Hierdoor kunnen kwaadwillenden privégegevens van autobezitters opvragen, zoals naam, telefoonnummer, e-mailadres, gegevens over de auto en financiële informatie van klanten.
Bij Kia, Honda, Nissan, Hyundai, Genesis, Acura en Infiniti was het eveneens slecht gesteld met de beveiliging. Curry slaagde er bij deze merken in om de auto volledig te ontgrendelen. Hij was in staat om op afstand de motor te starten en stoppen, de exacte locatie te achterhalen, de koplampen aan te zetten en te claxonneren. Het enige dat hij hiervoor nodig had was het voertuigidentificatienummer of VIN-nummer.
Tevens konden de beveiligingsonderzoekers accounts van auto-eigenaren op afstand overnemen. Bij auto’s van Kia hadden de onderzoekers toegang tot de live beelden van de ingebouwde 360-gradencamera. Bij Ford en Porsche waren ze in staat om persoonlijke informatie van autobezitters op te vragen.
Bij dure automerken als Mercedes-Benz, BMW, Rolls Royce en Ferrari is het niet beter gesteld met de beveiliging. Met een paar aanpassingen bleek het mogelijk om een Remote Code Execution (RCE) uit te voeren. Ook waren de onderzoekers in staat om Single Sign-On (SSO) te misbruiken om verkoopdocumenten op te vragen bij lokale BMW-dealers.
Een ander groot beveiligingsprobleem dat Curry en zijn team aantroffen, zat verstopt in het trackingsysteem van Spireon. Door diverse kwetsbaarheden hadden de onderzoekers toegang tot een administratiepaneel waarmee ze willekeurige commando’s naar meer dan 15,5 miljoen auto’s konden sturen. Daarmee konden ze onder meer deuren ontgrendelen, de auto starten, locatiegegevens achterhalen en de firmware van de auto flashen. In theorie konden ze tevens een volledige vloot van politiewagens en ambulances overnemen.
De autofabrikanten hebben nog niet gereageerd op de bevindingen van Sam Curry en zijn medewerkers.
