3 Minutės
Kas nutiko
Saugumo tyrėjas Eaton Zveare, dirbantis programinės įrangos tiekėjo „Harness“ komandoje, aptiko rimtą pažeidžiamumą vieno žinomo automobilių gamintojo internetiniame atstovybių portale. Tyrėjas neįvardijo gamintojo, tačiau pabrėžė, kad portalas aptarnavo per tūkstantį JAV atstovybių ir keletą populiarių subprekės ženklų. Spraga leido pakeisti prisijungimo puslapio kodą, apeiti autentifikacijos patikras ir susikurti „nacionalinio administratoriaus“ paskyrą, suteikiančią plačias prieigos teises.
Kokias funkcijas įtraukė pažeidimas
Tokia prieiga atvėrė kelią:
- klientų asmens ir finansinės informacijos peržiūrai;
- transporto priemonių buvimo vietos sekimui realiuoju laiku;
- telematikos įrankių naudojimui (pvz., nuotolinis atrakininimas arba kelionės atšaukimas);
- administratoriaus teisėms, leidžiančioms „apsimesti" kitais vartotojais dėl SSO (single sign-on) mechanikos.
Tyrėjas patvirtino, kad portalo nacionalinė paieška pagal VIN arba žmogaus vardą ir pavardę leidžia identifikuoti savininką. Demonstruodamas spragą, jis su draugo sutikimu susiejo draugo automobilį su savo mobiliąja paskyra ir nuotoliniu būdu automobilį atrakino — procedūrai prireikė tik vartotojo patvirtinimo be jokio papildomo patikrinimo.
Prieigos mastas ir rizikos
E. Zveare nurodė, kad aptikta spraga suteikė kelią prie visų portalo prijungtų JAV atstovybių duomenų: klientų įrašų, finansinės informacijos, potencialių klientų sąrašų ir kitų jautrių duomenų. Dėl vieno prisijungimo mechanizmo (SSO) ir administratoriaus teisių piktavalis galėjo pereiti iš vienos atstovybės sistemos į kitą — tai tyrėjas apibūdino kaip „saugumo košmarą". Gamintojas, gavęs pranešimą, per savaitę ištaisė klaidas.
Telematika, automobilio funkcijos ir saugumo specifikacijos
Modernaus automobilio telematikos moduliai paprastai apima ryšį per 4G/5G, nuotolinį atrakkinimą, geografinio sekimo galimybes, nuotolinį paleidimą/užrakinimą ir OTA (over-the-air) atnaujinimus. Nors konkretūs modelio techniniai duomenys šiame pranešime nenustatyti, verta žinoti, kad šios savybės sprendžia tiek patogumą, tiek riziką:
- Specifikacijos: telematikos valdikliai, VIN atpažinimas, vartotojo autentifikacija, šifruoti ryšiai;
- Dizainas: debesų paslaugomis pagrįsti sprendimai, integracija su atstovybių CRM ir pardavimo sistemomis;
- Vykdymas (performance): greita telemetrija leidžia realiu laiku stebėti buvimo vietą ir atlikti nuotolines komandas, tačiau būtent ši operatyvumas tampa pažeidžiamas, jei trūksta saugios autentifikacijos;
- Rinkos pozicija: gamintojai, siūlantys pažangias prijungtumo paslaugas (nuotolinės funkcijos, prenumeratos), konkuruoja dėl vartotojo patogumo — tuo pačiu prisiimdami didesnę atsakomybę už kibernetinį saugumą.
Palyginimas
Skirtingi gamintojai skiriasi saugumo požiūriu: vieni diegia daugiasluoksnę autentifikaciją, sunkiai išnaudojamą SSO architektūrą ir griežtas prieigos teises; kiti remiasi senesnėmis dealerių sistemomis, kur klaida vienoje vietoje gali paveikti visą tinklą. Šis incidentas parodo, kad ne visada telematikos „patobulinimai" yra tolygūs saugumui.
Kodėl tai nutiko: API ir autentifikacijos klaidos
Tyrėjas pažymėjo, kad problemą sukėlė vos dvi API autentifikacijos klaidos. Jo žodžiais: „jei autentifikacija įgyvendinama netinkamai, griūva visa sistema". Dažniausios priežastys — per didelės prieigos teisės, trūkstamas MFA, nepakankama įrašų (log) analizė ir SSO konfigūracijos klaidos.
Rekomendacijos vairuotojams ir atstovybėms
Vairuotojams
- Naudokite stiprias, unikalias slaptažodžių kombinacijas ir įjungkite MFA, jei paslauga tai siūlo;
- Apribokite dalinimąsi paskyromis ir sekite, kurie įrenginiai turi leidimą valdyti jūsų transporto priemonę;
- Pasikonsultuokite su atstovybe dėl telematikos saugumo nustatymų ir atnaujinimų.
Gamintojams ir atstovybėms
- Taikyti „least privilege" principą: darbuotojams ir partneriams suteikti tik būtinas prieigos teises;
- Rigoriškai testuoti API autentifikaciją ir SSO konfigūraciją, įdiegti pen-testus bei bug bounty programas;
- Stebėti prisijungimus, taikyti anomalijų aptikimą ir greitą incidentų valdymą.
Išvados
Šis atvejis – įspėjimas visai automobilių pramonei: pažangios telematikos funkcijos didina patogumą, bet vienu metu reikalauja profesionalaus ir nuolatinio kibernetinio saugumo. Tyrėjas ruošiasi pristatyti radinius „Def Con" konferencijoje Las Vegase, o priežiūros institucijos, tokios kaip JAV FCC, pabrėžia poreikį sugriežtinti reikalavimus, kad būtų apsaugotos asmens teisės ir neleista išnaudoti sistemų persekiojimui ar nusikalstamiems veiksmams.
Šaltinis: 77
Palikite komentarą