Исследователи продемонстрировали взлом автомобиля BMW через web-сайт производителя
Исследователь Бенджамин Кунц Мейри (Benjamin Kunz Mejri) из Vulnerability-Labs обнаружил две уязвимости в web-сервисах компании BMW, которые можно использовать для изменения настроек автомобилей. Уязвимости присутствуют на web-сайте и на портале ConnectedDrive.
Первая уязвимость позволяет злоумышленнику внедриться в текущую сессию пользователя на официальном портале BMW ConnectedDrive. Для идентификации в сервисе приложение использует уникальный идентификатор автомобиля (VIN - Vehicle Identification Number). Авторизованный пользователь портала может подменить свой VIN-номер на номер жертвы и внедриться в активную сессию.
Этот портал используется для установки на автомобиль различных информационных и развлекательных приложений, чтения email-сообщений, управления профилем водителя, управления устройствами умного дома, управления температурой, освещением и сигнализацией автомобиля и передачи информации о ситуации на дороге в реальном времени.
Вторая уязвимость – межсайтовый скриптинг, присутствующая на сайте официального онлайн-сервиса BMW в функционале восстановления пароля.
По заявлению Vulnerability-Labs, информация об уязвимостях была передана BMW еще в феврале текущего года. Производитель ответил исследователю лишь через 2 месяца после первоначального уведомления. Поскольку информация об исправлениях не была нигде опубликована производителем, исследователь решил обнародовать подобности уязвимостей.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш