Los errores le permitierón abrir y arrancar autos Hyundai, Genesis y no solo

Los errores en las aplicaciones

Expertos de la compañía Yuga Labs descubrieron vulnerabilidades en aplicaciones móviles para automóviles Hyundai y Genesis. Además, la plataforma para automóviles «inteligentes» SiriusXM, utilizada en automóviles de otros fabricantes (Acura, BMW, Honda, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru y Toyota), le permitió desbloquear el automóvil de forma remota, arrancar el motor y realizar otras acciones.

El especialista de Yuga Labs Sam Curry (Sam Curry) publicó en Twitter dos largos hilos (HyundaiSiriusXM) dedicados a los problemas que él y sus colegas descubrieron recientemente en el software de muchos autos diferentes.

Tabla de contenidos

MyHyundai y MyGenesis

El análisis comenzó con aplicaciones para automóviles Hyundai y Genesis (MyHyundai y MyGenesis), que permiten a los usuarios autenticados arrancar y atascar el motor de forma remota, así como bloquear y desbloquear sus automóviles.

myhyundai app

Al interceptar y examinar el tráfico generado por estas aplicaciones, los investigadores pudieron extraer llamadas API de él. Así que encontraron que la validación del propietario del automóvil se basa solo en su dirección de correo electrónico, que simplemente se incluye en el cuerpo json de las solicitudes POST. Luego se descubrió que MyHyundai, además, no requiere confirmación de la dirección de correo electrónico al registrarse.

Sobre la base de los datos recopilados, los expertos crearon una nueva cuenta utilizando la dirección de correo electrónico de destino con un símbolo de control adicional al final. Después de eso, enviaron una solicitud HTTP al punto final de Hyundai. La solicitud contenía el correo electrónico de los expertos en el token JSON y la dirección de la víctima en el cuerpo JSON, lo que permitía omitir la validación.

hyundai response

Para probar su ataque, los investigadores intentaron desbloquear un automóvil Hyundai que tenían. El ataque funcionó y la máquina se desbloqueó con éxito. Después de eso, se creó un script de Python para automatizar todas las etapas del ataque, para cuyo trabajo solo necesita especificar la dirección de correo electrónico de la víctima. El trabajo del guión se puede ver en el video a continuación.

Jugador

«La vulnerabilidad ha sido parcheada y el principal problema era el control de acceso, afectando a las cuentas de usuario en la propia aplicación. Podrías iniciar sesión en la cuenta de alguien si conocieras la dirección de correo electrónico [de la víctima] y, por lo tanto, monitorear / localizar su automóvil de forma remota», escribió Curry.

SiriusXM

Los analistas de Yuga Labs luego cambiaron a estudiar los productos de SiriusXM, que, entre otras cosas, es un proveedor de servicios telemáticos para más de 15 grandes fabricantes de automóviles. La compañía afirma operar servicios para aproximadamente 12 millones de automóviles «conectados».

Como descubrieron los expertos, las aplicaciones móviles Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru y Toyota usan SiriusXM para implementar funciones de control remoto.

El estudio del tráfico de red de la aplicación Nissan mostró que es posible enviar solicitudes HTTP falsas al punto final, conociendo solo el número VIN de un automóvil en particular. La respuesta a dicha solicitud contiene el nombre, número de teléfono, dirección e información del vehículo de la víctima. Además de la divulgación de datos, dichas solicitudes podrían contener comandos para realizar acciones con el automóvil. Por lo tanto, para los automóviles lanzados después de 2015, era posible: arranque y parada remotos, bloqueo, desbloqueo, control de los faros y la señal de sonido.

dfsdfg

Al mismo tiempo, los expertos enfatizan que el VIN de casi cualquier automóvil se puede encontrar justo en el estacionamiento (generalmente se encuentra en la parte inferior del parabrisas) o en un sitio especializado para la venta de automóviles.

Representantes de Hyundai dijeron a los medios que las vulnerabilidades descubiertas por Yuga Labs no se utilizaron para atacar a los propietarios de automóviles, y que «las cuentas de los clientes no estaban disponibles para terceros».

«También enfatizamos que la explotación de la vulnerabilidad requería conocer la dirección de correo electrónico asociada con una cuenta y un automóvil específicos de Hyundai, así como tener un script específico utilizado por los investigadores. A pesar de esto, Hyundai tomó contramedidas a los pocos días de recibir la notificación [de vulnerabilidades]», dijo la compañía.

Los desarrolladores de SiriusXM también dijeron que los errores encontrados por los especialistas no afectaron a ningún cliente y fueron eliminados 24 horas después de recibir el informe. Además, la compañía informó que las vulnerabilidades se cerraron como parte del programa de recompensas de errores, que ha existido en SiriusXM durante mucho tiempo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *