Millones de vehículos en riesgo: revelan vulnerabilidades en APIs de reconocidas marcas de automóviles
Casi veinte fabricantes y servicios de automóviles contenían vulnerabilidades de seguridad en la API. Estas vulnerabilidades podrían haber permitido a los hackers realizar actividades maliciosas que van desde desbloquear, arrancar y rastrear automóviles hasta exponer la información personal de los clientes.
Las vulnerabilidades de seguridad afectan a marcas reconocidas, como BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota y Genesis.
Asimismo, las vulnerabilidades también afectan a las marcas de tecnología de vehículos Spireon, Reviver y SiriusXM Connected Vehicle Services.
El descubrimiento de estas fallas de APIs proviene de un equipo de investigadores dirigido por Sam Curry. Curry reveló previamente problemas de seguridad de Hyundai, Genesis, Honda, Acura, Nissan, Infinity y SiriusXM en noviembre de 2022 .
Si bien la divulgación anterior de Curry explicaba cómo los hackers podrían usar estas vulnerabilidades para desbloquear y arrancar automóviles, ahora que ha pasado un período de divulgación de vulnerabilidades de 90 días desde que reportó estos problemas, el equipo ha hecho una publicación más detallada sobre las vulnerabilidades de la API.
Los proveedores afectados han solucionado todos los problemas presentados en este informe, por lo que ahora no se pueden explotar.
Acceso a portales internos
Las vulnerabilidades de APIs más graves se encontraron en BMW y Mercedes-Benz, que se vieron afectadas por vulnerabilidades de SSO (inicio de sesión único) en toda la empresa. Esta vulnerabilidad permitía a los atacantes acceder a los sistemas internos.
Para Mercedes-Benz, los analistas pudieron acceder a múltiples instancias privadas de GitHub, canales de chat internos en Mattermost, servidores, instancias de Jenkins y AWS, sistemas XENTRY que se conectan a los automóviles de los clientes y más.
Para BMW, los investigadores pudieron acceder a los portales internos de los concesionarios. Además, pudieron consultar los VINs de cualquier automóvil y recuperar documentos de ventas que contenían detalles confidenciales del propietario.
Pero eso no es todo, pudieron aprovechar las vulnerabilidades de SSO para iniciar sesión como cualquier empleado o distribuidor y acceder a aplicaciones reservadas para uso interno.
Exponer detalles del propietario
La explotación de otras vulnerabilidades de la API permitió a los investigadores acceder a la PII (información de identificación personal) de los propietarios de automóviles KIA, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Roll Royce, Ferrari, Ford, Porsche y Toyota.
En los casos de autos ultra caros, revelar información del propietario es particularmente peligroso. Esto porque en algunos casos, los datos incluyen información de ventas, ubicación física y direcciones de clientes.
Ferrari sufría de un SSO mal implementado en su CMS, lo que exponía las rutas API backend y permitía extraer credenciales de fragmentos de JavaScript.
Un atacante podría explotar estas fallas para acceder, modificar o eliminar cualquier cuenta de clientes de Ferrari. En otras palabras, podría administrar el perfil del vehículo o establecerse como propietario de un automóvil.
GPS de seguimiento de vehículos
Estas vulnerabilidades también podrían haber permitido a los ciberdelincuentes rastrear automóviles en tiempo real. Esto genera riesgos físicos potenciales y afecta la privacidad de millones de propietarios de automóviles.
Porsche fue una de las marcas afectadas, con vulnerabilidades en sus sistemas telemáticos que permitían a los atacantes obtener ubicaciones de vehículos y enviar comandos.
La solución de rastreo GPS Spireon también era vulnerable a la divulgación de la ubicación del automóvil, lo que afectó a 15.5 millones de vehículos que usan sus servicios e incluso permitió el acceso completo a su panel de administración remota. Es decir, la vulnerabilidad permitía a los atacantes desbloquear automóviles, encender el motor o desactivar el motor de arranque.
La tercera entidad afectada es Reviver, un fabricante de matrículas digitales que era vulnerable al acceso remoto no autenticado a su panel de administración. La vulnerabilidad podría haberle dado a cualquier persona acceso a datos de GPS y registros de usuarios, la capacidad de cambiar los mensajes de las matrículas y más.
Curry mostró cómo estas vulnerabilidades les permitieron marcar un vehículo como “ROBADO” en el panel Reviver, lo que automáticamente informaría a la policía sobre el incidente, poniendo al propietario/conductor en un riesgo innecesario.
Minimizando los riesgos
Como propietario de un automóvil puedes protegerte de este tipo de vulnerabilidades limitando la cantidad de información personal que almacenas en los vehículos o en las aplicaciones móviles complementarias.
También es esencial configurar la telemática del automóvil en el modo más privado disponible y leer las políticas de privacidad para comprender cómo se utilizan los datos.
Sam Curry también compartió los siguientes consejos que los propietarios deben seguir al comprar un automóvil.
“Al comprar un automóvil usado, asegúrate de que se haya eliminado la cuenta del propietario anterior. Usa contraseñas seguras y configura 2FA (autenticación de dos factores) si es posible para aplicaciones y servicios que se vinculan a tu vehículo”.
Recomendaciones de Sam Curry
Por otra parte, un portavoz de Spireon realizó las siguientes declaraciones:
Nuestros profesionales de ciberseguridad se reunieron con el investigador de seguridad para analizar y evaluar las supuestas vulnerabilidades del sistema e implementaron de inmediato medidas correctivas en la medida requerida.
También tomamos medidas proactivas para fortalecer aún más la seguridad en toda nuestra cartera de productos. Esto como parte de nuestro compromiso continuo con nuestros clientes como proveedor líder de soluciones telemáticas de posventa.
Spireon se toma muy en serio todos los asuntos de seguridad y utiliza un extenso conjunto de herramientas líder en la industria para monitorear y escanear sus productos y servicios en busca de riesgos de seguridad potenciales conocidos y novedosos.