0-day уязвимости на портале BMW позволяют удаленно взламывать автомобили

Исследователь из Vulnerability Labs Бенджамин Кунц Менджри (Benjamin Kunz Mejri) обнаружил две опасных уязвимости на портале ConnectedDrive, принадлежащем BMW. ConnectedDrive —это имя информационно-развлекательной системы автопроизводителя, которая может использоваться как в самих авто, так и различными мобильными устройствами, на которых установлено соответственное приложение. Менджри рассказал, что проблемы до сих пор не исправлены, BMW тщетно пытается устранить баги уже пять месяцев.

Первая проблема относится к уязвимостям session vulnerability, она позволяет третьим лицам узнать VIN (Vehicle Identification Number) чужого автомобиля. VIN машины выступает в роли ID для аккаунта ConnectedDrive , он же используется для бекапа настроек системы из машины в аккаунт пользователя. Подмена настроек на веб-портале приведет к тому, что они также будут изменены и в автомобиле жертвы.

Менджри пишет, что атака позволила ему обойти валидацию VIN и использовать вместо него VIN другого автомобиля, а затем изменить его настройки. ConnectedDrive позволяет заблокировать и разблокировать авто, дает доступ к email-аккаунту жертвы, позволяет получить информацию о трафике и маршрутах в реальном времени, управлять системой контроля климата, светом и сигнализацией, подменить список музыкальных треков и так далее.

Вторая проблема — это обычная XSS (cross-site scripting) уязвимость, которую исследователь обнаружил на странице сброса пароля ConnectedDrive. Эксплуатация бага может привести к утечке куки браузера, последующим CSRF-атакам, фишиновым атакам и так далее. Все, как и с любым другим XSS-багом.

Исследователь уведомил BMW об уязвимостях еще в феврале 2016 года. Так как BMW так и не предприняло никаких мер для устранения проблем, Менджри выждал положенное время и раскрыл информацию о багах. Детальную информацию и proof-of-concept эксплоиты можно найти на официальном сайте Vulnerability Labs: отчет о первой проблеме, отчет о второй проблеме.

Фото: Pcworld