امنیت

رخنه امنیتی در پورتال وب خودروساز، امکان باز کردن قفل خودرو از راه دور را برای هکر فراهم کرد

1 هفته پیش
1 هفته پیش
0 نظر

یک محقق امنیتی اعلام کرده که حفره‌های امنیتی در پورتال آنلاین یکی از خودروسازان، اطلاعات شخصی و داده‌های خودروهای مشتریانش را در معرض خطر قرار داده و می‌توانسته به هکرها اجازه دهد از راه دور وارد خودروهای مشتریان شوند.

ایتان زویر، که به عنوان محقق امنیتی در شرکت نرم‌افزاری Harness کار می‌کند، به خبرنگار گفت که این نقص امنیتی که او کشف کرده، امکان ایجاد یک حساب کاربری ادمین را فراهم می‌کرده که دسترسی “بی‌حد و حصر” به پورتال متمرکز این خودروساز (که نامش فاش نشده) را میسر می‌ساخته است.

با این دسترسی، یک هکر مخرب می‌توانسته اطلاعات شخصی و مالی مشتریان خودروساز را ببیند، خودروها را ردیابی کند و مشتریان را در ویژگی‌هایی ثبت‌نام کند که به مالکان (یا هکرها) اجازه می‌دهد برخی از عملکردهای خودروی خود را از هر کجا کنترل کنند.

زویر گفت که برنامه‌ای برای افشای نام این شرکت ندارد، اما گفت که این یک خودروساز مشهور با چندین زیرمجموعه محبوب است.

زویر در مصاحبه با خبرنگار پیش از سخنرانی خود در کنفرانس امنیتی Def Con در لاس وگاس در روز یکشنبه، گفت که این باگ‌ها توجه را به امنیت این سیستم‌های نمایندگی معطوف می‌کند که به کارمندان و همکاران خود دسترسی گسترده‌ای به اطلاعات مشتری و خودرو می‌دهند.

زویر که قبلاً هم باگ‌هایی در سیستم‌های مشتریان خودروسازان و سیستم‌های مدیریت خودرو پیدا کرده بود، این نقص را در اوایل سال جاری به عنوان بخشی از یک پروژه آخر هفته کشف کرد.

او گفت در حالی که یافتن نقص‌های امنیتی در سیستم ورود به پورتال یک چالش بود، اما پس از یافتن آن، این باگ‌ها به او اجازه دادند تا با ایجاد یک حساب کاربری جدید “ادمین ملی”، مکانیسم ورود به سیستم را به طور کامل دور بزند.

این نقص‌ها مشکل‌ساز بودند، زیرا کد دارای باگ هنگام باز کردن صفحه ورود به پورتال در مرورگر کاربر بارگیری می‌شد و به کاربر (در این مورد، زویر) اجازه می‌داد کد را برای دور زدن بررسی‌های امنیتی ورود به سیستم تغییر دهد. زویر به خبرنگار گفت که خودروساز هیچ مدرکی مبنی بر بهره‌برداری قبلی پیدا نکرده است، که نشان می‌دهد او اولین کسی بوده که آن را یافته و به خودروساز گزارش داده است.

او به خبرنگار گفت که پس از ورود به سیستم، این حساب کاربری به بیش از ۱۰۰۰ نمایندگی خودروساز در سراسر ایالات متحده دسترسی پیدا می‌کرد.

زویر در توصیف این دسترسی گفت: “هیچ‌کس حتی نمی‌داند که شما به طور بی‌صدا در حال بررسی داده‌های همه این نمایندگی‌ها، امور مالی، اطلاعات خصوصی، و سرنخ‌های فروش آن‌ها هستید.”

زویر گفت که یکی از چیزهایی که در داخل پورتال نمایندگی پیدا کرده، ابزار جستجوی ملی مصرف‌کننده بود که به کاربران وارد شده به پورتال اجازه می‌داد اطلاعات خودرو و راننده آن خودروساز را جستجو کنند.

در یک مثال واقعی، زویر شماره شناسایی منحصربه‌فرد یک خودرو را از شیشه جلوی یک خودرو در یک پارکینگ عمومی برداشت و از این شماره برای شناسایی مالک خودرو استفاده کرد. زویر گفت که از این ابزار می‌توان برای جستجوی یک شخص فقط با استفاده از نام و نام خانوادگی مشتری استفاده کرد.

زویر گفت که با دسترسی به پورتال، امکان جفت کردن هر خودرو با یک حساب کاربری تلفن همراه نیز وجود داشت، که به مشتریان اجازه می‌دهد برخی از عملکردهای خودروی خود را از راه دور از طریق یک برنامه کنترل کنند، مانند باز کردن قفل خودرو.

زویر گفت که این کار را در یک مثال واقعی با استفاده از حساب کاربری یکی از دوستانش و با رضایت او امتحان کرده است. او گفت که در انتقال مالکیت به یک حساب کاربری تحت کنترل زویر، پورتال فقط به یک گواهی – در واقع یک قول ساده – نیاز دارد که کاربری که انتقال حساب را انجام می‌دهد، معتبر است.

زویر گفت: “برای اهداف من، من فقط دوستی پیدا کردم که رضایت داد من کنترل ماشین او را به دست بگیرم، و من با آن پیش رفتم. اما [پورتال] اساساً می‌توانست این کار را با هر کسی فقط با دانستن نامش انجام دهد – که تا حدودی من را می‌ترساند – یا می‌توانستم فقط یک ماشین را در پارکینگ‌ها پیدا کنم.”

زویر گفت که آزمایش نکرده که آیا می‌تواند با ماشین فرار کند یا خیر، اما گفت که سارقان می‌توانند از این نقص برای ورود به خودروها و سرقت وسایل از آن‌ها سوء استفاده کنند.

یکی دیگر از مشکلات کلیدی دسترسی به پورتال این خودروساز این بود که امکان دسترسی به سیستم‌های دیگر نمایندگی‌های متصل به همان پورتال از طریق ورود یکباره وجود داشت، ویژگی‌ای که به کاربران اجازه می‌دهد تنها با یک مجموعه اعتبارنامه ورود به سیستم، وارد چندین سیستم یا برنامه شوند. زویر گفت که سیستم‌های خودروساز برای نمایندگی‌ها همگی به هم متصل هستند، بنابراین جابجایی از یک سیستم به سیستم دیگر آسان است.

با این کار، او گفت، پورتال همچنین دارای ویژگی‌ای بود که به مدیران، مانند حساب کاربری که او ایجاد کرده بود، اجازه می‌داد تا “خود را جای” کاربران دیگر “جا بزنند”، و عملاً بدون نیاز به اطلاعات ورود به سیستم آن‌ها، به سیستم‌های دیگر نمایندگی‌ها دسترسی پیدا کنند، انگار که آن کاربر هستند. زویر گفت که این شبیه به ویژگی‌ای است که در پورتال نمایندگی تویوتا که در سال ۲۰۲۳ کشف شد، یافت شده است.

زویر با اشاره به ویژگی جعل هویت کاربر گفت: “آن‌ها فقط کابوس‌های امنیتی هستند که منتظر وقوع هستند.”

زویر پس از ورود به پورتال، اطلاعات شناسایی شخصی مشتری، برخی اطلاعات مالی و سیستم‌های تلماتیک را پیدا کرد که امکان ردیابی موقعیت مکانی در زمان واقعی خودروهای اجاره‌ای یا امانی و همچنین خودروهایی که در سراسر کشور حمل می‌شدند را فراهم می‌کرد، و همچنین گزینه لغو آن‌ها – هرچند که زویر این کار را امتحان نکرد.

زویر گفت که رفع اشکالات حدود یک هفته در فوریه ۲۰۲۵ پس از افشای اطلاعات به خودروساز طول کشید.

زویر گفت: “نکته اصلی این است که تنها دو آسیب‌پذیری ساده API درها را به شدت باز کردند، و همیشه مربوط به احراز هویت است. اگر این‌ها را اشتباه انجام دهید، همه‌چیز فرو می‌ریزد.”

منبع: techcrunch.com

اشتراک‌ها:
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *