Une patate chaude : Les chercheurs en sécurité ont découvert l’automne dernier de graves vulnérabilités qui permettraient aux pirates de voler des véhicules et des données clients de plusieurs fabricants. Dans une nouvelle mise à jour, l’un des chercheurs écrit que les vulnérabilités sont plus étendues et peuvent même affecter les véhicules des forces de l’ordre et des services d’urgence.

De multiples vulnérabilités auraient pu permettre aux attaquants de suivre et de contrôler à distance les véhicules de police, les ambulances et les véhicules grand public de divers fabricants, selon le dernier rapport du chercheur Sam Curry. rapport. La mise à jour fait suite à un avis similaire de novembre.

Le point faible des plates-formes de services d’urgence est le site Web de la société contrôlant le GPS et la télématique pour plus de 15 millions d’appareils, la plupart étant des véhicules –Spireon Systems. Les chercheurs ont décrit le site Web de Spireon comme obsolète et pourraient s’y connecter avec un compte administrateur avec une certaine ingéniosité.

De là, ils pouvaient suivre et contrôler à distance des flottes de véhicules de police, d’ambulances et de véhicules commerciaux. Les attaquants pourraient déverrouiller les voitures, démarrer leurs moteurs, désactiver leurs commutateurs d’allumage, envoyer des commandes de navigation à des flottes entières et contrôler les mises à jour du micrologiciel pour potentiellement diffuser des logiciels malveillants.

2023 01 06 image 20

L’année dernière, Curry a déclaré que les vulnérabilités des systèmes à distance de SiriusXM pourraient permettre aux pirates de voler des véhicules Acura, Honda, Infiniti et Nissan en utilisant uniquement le numéro d’identification du véhicule de chaque voiture. Ils pourraient également accéder aux informations personnelles des clients. Le nouveau rapport révèle des dangers similaires avec les modèles Kia, Hyundai et Genesis.

De plus, des systèmes d’authentification unique mal configurés ont permis aux chercheurs d’accéder aux systèmes d’entreprise internes de BMW, Mercedes Benz et Rolls Royce. Les failles n’accordaient pas d’accès direct aux véhicules. Pourtant, les attaquants auraient pu violer les communications internes de Mercedes Benz, accéder aux informations des concessionnaires BMW et détourner n’importe quel compte d’employé BMW ou Rolls Royce. Les failles de sécurité des sites Web de Ferrari permettent également aux chercheurs d’accéder aux privilèges administratifs et de supprimer toutes les informations des clients.

Les chercheurs ont également découvert que la plupart, sinon la totalité, des plaques d’immatriculation numériques californiennes étaient vulnérables aux attaquants. Après que l’État a légalisé les plaques numériques l’année dernière, une société appelée Reviver les a peut-être toutes gérées, et des failles de sécurité sont apparues dans les systèmes internes de Reviver. Les détenteurs de plaques d’immatriculation numériques peuvent utiliser Reviver pour mettre à jour leurs plaques et les signaler comme volées à distance. Cependant, les vulnérabilités permettaient aux attaquants de donner aux comptes Reviver ordinaires des privilèges élevés qui pouvaient suivre, modifier et supprimer toute inscription dans le système.

Le dernier blog de Curry Publier détaille en détail la méthodologie derrière ces hacks et d’autres pour ceux qui s’intéressent aux choses sérieuses. Son équipe a signalé les vulnérabilités aux entreprises concernées avant leur divulgation. Au moins certains d’entre eux ont confirmé avoir publié des correctifs de sécurité.