Vulnerabilidades de API descobertas em 16 grandes marcas de automóveis

vulnerabilidades-de-api-descobertas-em-16-grandes-marcas-de-automoveis
Imagem: Reprodução | The Hacker News

Várias vulnerabilidades de API foram descobertas em 16 frandes marcas de fabricantes de automóveis. Essas falhas podem ser usadas para desbloquear, ligar e rastrear carros, além de impactar a privacidade dos proprietários de carros.

Vulnerabilidades descobertas em marcas de automóveis

As vulnerabilidades de segurança foram encontradas nas APIs automotivas da Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce, Toyota, bem como em software de Reviver, SiriusXM e Spireon.

As vulnerabilidades abrangem uma ampla gama, desde aquelas que dão acesso a sistemas internos da empresa e informações do usuário até pontos fracos que permitiriam que um invasor enviasse comandos remotamente para obter a execução do código.

Vários bugs que afetam milhões de veículos de 16 fabricantes diferentes podem ser usados para desbloquear, ligar e rastrear carros, além de impactar a privacidade dos proprietários dos carros.

vulnerabilidades-de-api-descobertas-em-16-grandes-marcas-de-automoveis
Imagem: Reprodução | The Hacker News
vulnerabilidades-de-api-descobertas-em-16-grandes-marcas-de-automoveis
Imagem: Reprodução | The Hacker News

De acordo com os pesquisadores, “Isso nos permitiria rastrear e desligar os acionadores da polícia, ambulâncias e veículos de aplicação da lei para várias grandes cidades e enviar comandos para esses veículos”.

As vulnerabilidades identificadas na Mercedes-Benz podem conceder acesso a aplicativos internos por meio de um esquema de autenticação de logon único (SSO) configurado incorretamente, enquanto outras podem permitir o controle da conta do usuário e a divulgação de informações confidenciais.

Outras falhas permitem acessar ou modificar registros de clientes, portais internos de revendedores, rastrear localizações de GPS de veículos em tempo real, gerenciar os dados de placas de todos os clientes do Reviver e até mesmo atualizar o status do veículo como “roubado”.

Embora todas as vulnerabilidades de segurança tenham sido corrigidas pelos respectivos fabricantes após a divulgação responsável, as descobertas destacam a necessidade de uma estratégia de defesa em profundidade para conter ameaças e mitigar riscos.

A verdade é que essas empresas precisam rever as estratégias de segurança para que vulnerabilidades como essas não sejam um problema no futuro.

“Se um invasor conseguisse encontrar vulnerabilidades nos endpoints da API usados pelos sistemas telemáticos dos veículos, eles poderiam buzinar, piscar as luzes, rastrear remotamente, bloquear/desbloquear e iniciar/parar veículos, completamente remotamente”, observaram os pesquisadores.

As vulnerabilidades estão cada vez mais aparecendo em diversos setores de tecnologia. Os automóveis não são excec?o?es a regra e, têm sofrido com diversos bugs, que podem levar ao desbloqueio dos veículos e muito mais. Assim, medidas de segurança precisam ser adotadas para evitar isso.