Haker mógł zdalnie otworzyć każdy samochód znanej marki. Krytyczna luka w portalu dla dealerów
Eaton Zveare, badacz bezpieczeństwa z firmy Harness, odkrył krytyczne luki w zabezpieczeniach internetowego portalu dla dealerów jednej z największych, choć nienazwanej z imienia, marek samochodowych.
Błędy w systemie były na tyle poważne, że potencjalnie pozwalały hakerowi nie tylko na dostęp do prywatnych danych klientów, ale również na zdalne odblokowanie drzwi dowolnego pojazdu tej marki. Swoje odkrycia Zveare zaprezentował na prestiżowej konferencji Def Con w Las Vegas.
Badaczowi udało się znaleźć błąd na stronie logowania do portalu, który pozwalał na ominięcie zabezpieczeń i stworzenie nowego konta z uprawnieniami „krajowego administratora”. To dawało mu praktycznie nieograniczony dostęp do całego systemu, obejmującego ponad 1000 dealerów w Stanach Zjednoczonych. Zveare uzyskał w ten sposób wgląd w dane osobowe i finansowe klientów, a także dostęp do narzędzia pozwalającego na śledzenie lokalizacji pojazdów w czasie rzeczywistym.
Najbardziej alarmującą funkcją, do której uzyskał dostęp, była możliwość sparowania dowolnego pojazdu z nowym kontem mobilnym. Wymagało to jedynie numeru identyfikacyjnego pojazdu (VIN), który często jest widoczny przez przednią szybę, oraz imienia i nazwiska właściciela. Po przejęciu kontroli nad pojazdem w aplikacji, haker mógł zdalnie odblokować jego drzwi. Zveare potwierdził skuteczność tej metody za zgodą swojego znajomego, przejmując w ten sposób kontrolę nad jego samochodem.
Problem był tym poważniejszy, że portal dealera pozwalał administratorowi na „podszywanie się” pod dowolnego innego użytkownika systemu bez znajomości jego hasła, co umożliwiało swobodne poruszanie się po różnych, połączonych ze sobą systemach. Jak podsumował Zveare, „wystarczyły dwie proste luki w API związane z uwierzytelnianiem, by otworzyć na oścież całe wrota”.
Na szczęście, historia ma dobre zakończenie. Producent samochodów został poinformowany o lukach w lutym 2025 roku i załatał je w ciągu tygodnia. Firma nie znalazła również dowodów na to, by ktoś przed Zveare wykorzystał tę podatność w złośliwy sposób.
Groźna luka w narzędziu Google Gemini CLI. Hakerzy mogli zdalnie usuwać pliki
