Brecha em app da Hyundai permitia abrir e ligar carros à distância

Uma vulnerabilidade crítica no aplicativo oficial da Hyundai permitia que os carros da montadora fossem abertos e ligados à distância. A exploração poderia permitir que qualquer pessoa criasse uma conta em nome do dono do veículo, enquanto a interceptação do tráfego entre o software e o automóvel completava o ataque, a partir de códigos em JavaScript.

• Indústrias de carros viram alvo de ataques cibernéticos e roubo de dados
• Mais de metade dos apps não oficiais para carros usam dados sem permissão

Em uma das falhas de segurança, os pesquisadores em cibersegurança da Yuga Labs descobriram que o software usa o e-mail do dono do carro como único validador, sem nem mesmo uma verificação adicional via caixa de entrada. Assim, sabendo o contato, qualquer um poderia criar uma conta em nome de um proprietário de um Hyundai, abrindo as portas para a segunda parte da exploração, um pouco mais complexa, mas não para quem souber o que está fazendo.

Enquanto os detalhes técnicos não foram divulgados, os especialistas apontam que, na sequência, bastaria o envio de uma solicitação HTTP manipulada a partir de um script programado em Python, com os dados fraudados e o endereço interceptado, para que o controle fosse dado. Além de abrir e ligar o carro, também seria possível o desligar à distância e acessar informações de telemetria. É o tipo de ataque que exige uma programação, mas como demonstrado, basta que um atacante faça isso uma vez e compartilhe a ferramenta para que até mesmo indivíduos não tão especializados sejam capazes de atingir os usuários.

Segundo a Yuga Labs, todos os modelos de veículos fabricados a partir de 2012 e que contem com a integração ao aplicativo MyHyundai podem ser suscetíveis à exploração. Uma falha semelhante também foi encontrada nos aplicativos ligados a carros da montadora Genesis. Como se trata de uma divisão da própria Hyundai, eles compartilham a mesma tecnologia e, com isso, também veio a brecha de segurança.

Em comunicado oficial à imprensa internacional, a montadora afirmou já ter lançado uma correção para o problema. Além disso, a empresa afirmou não existirem indícios de que o ataque tenha sido realizado além da esfera dos testes de segurança, agradecendo aos especialistas pela notificação. Ainda, a Hyundai evidenciou a complexidade dos golpes, que envolvem programações específicas e, também, a necessidade de os bandidos conhecerem os e-mails dos donos de carros a serem atingidos.

Sistema de telemetria permitia roubo de dados dos donos de veículos

Um segundo relatório, também lançado sem detalhes técnicos pelo Yuga Labs como forma de evitar explorações, detalha falhas semelhantes no sistema SiriusXM. A plataforma de telemetria e entretenimento também possui aplicativos que possibilitam o controle e monitoramento remoto de veículos, igualmente permitindo explorações por indivíduos mal-intencionados em busca dos dados dos proprietários.

Os testes foram realizados em carros da Nissan, mas os especialistas apontam que os problemas também podem aparecer em veículos da Honda, Land Rover, Toyota, BMW e a própria Hyundai, entre outros, lançados a partir de 2015. Para abusar da brecha, bastaria que um criminoso obtivesse o número de identificação do automóvel, normalmente visível no para-brisa, para que solicitações HTTP forjadas fossem enviadas.

O retorno do servidor, caso os pedidos sejam feitos da forma correta, traz os dados do dono do carro. A exploração pode revelar informações como nomes, números de telefone, e-mail, endereços e detalhes do veículo, enquanto programações adicionais também poderiam permitir o monitoramento e controle remoto dos automóveis.

Em resposta, a SiriusXM informou que o problema já foi solucionado e que não existem sinais de que a brecha foi explorada maliciosamente. A empresa também agradeceu aos pesquisadores em segurança e indicou seus programas de bug bounty como caminho para quem localizar novas falhas em suas plataformas.

Hyundai envia posicionamento

A própria Hyundai entrou em contato com o Canaltech para falar sobre o problema. Abaixo está o posicionamento da montadora.

A Hyundai trabalhou diligentemente com consultores terceirizados para investigar a suposta vulnerabilidade assim que os pesquisadores a chamaram a atenção. É importante ressaltar que, além dos veículos e contas da Hyundai pertencentes aos próprios pesquisadores, nossa investigação indicou que nenhum veículo ou conta de cliente – tanto da Hyundai quanto do Genesis – foi acessado por outros como resultado das questões levantadas pelos pesquisadores. Também observamos que, para empregar a suposta vulnerabilidade, era necessário conhecer o endereço de e-mail associado à conta e ao veículo Hyundai/Genesis específicos, bem como o script da Web específico empregado pelos pesquisadores. No entanto, a Hyundai e a Genesis implementaram contramedidas dias após a notificação para aumentar ainda mais a segurança de nossos sistemas. Separadamente, Hyundai e Genesis não foram afetados por uma falha de autorização do Sirius XM que foi divulgada recentemente. Valorizamos nossa colaboração com pesquisadores de segurança e agradecemos a assistência desta equipe.

Fonte: Bleeping Computer