Foi recentemente descoberto que quase vinte fabricantes de automóveis estariam a usar sistemas de API contendo vulnerabilidades, as quais poderiam ser usadas para obter informação respeitante a clientes das empresas e dos seus veículos.
A falha afeta um vasto conjunto de marcas bem conhecidas no mercado, entre as quais se encontra a BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota, e Genesis.
A vulnerabilidade também estaria a afetar as marcas Spireon e Reviver, juntamente com o serviço de streaming SiriusXM.
De acordo com a descoberta do investigador de segurança Sam Curry, a falha estaria relacionada com uma API usada em praticamente todas as fabricantes de automóveis mencionadas. Quando explorada, poderia permitir o acesso a informações respeitantes a clientes diretos das empresa, bem como dos seus veículos e controlo dos mesmos de forma remota.
Apesar da gravidade da falha, os investigadores alertaram todas as entidades afetadas, que entretanto corrigiram as mesmas – e portanto não é mais possível a sua exploração.
No caso da BMW e Mercedes, a falha encontrava-se diretamente no sistema de login único da empresa, sendo eu os atacantes poderiam explorar a mesma para obterem acesso aos sistemas internos da marca, onde se encontram várias informações sensíveis. No caso da Mercedes-Benz, os investigadores foram capazes de aceder a conteúdos como dados de servidores da entidade, relatórios do GitHub e chats internos, juntamente com vária informação da entidade e dos seus clientes.
No caso da BMW, os investigadores conseguiram aceder igualmente aos sistemas internos, onde seria possível realizar a pesquisa por qualquer veiculo da marca, bem como obter informações dos clientes e de funcionários.
A exploração das falhas na API permitia ainda obter mais informações pessoais respeitante aos donos de veículos das respetivas empresas, entre os quais se encontram dados como moradas, números de telefone e Nomes completos. Esta informação poderia depois ser usada para os mais variados ataques direcionados.
Em algumas situações, a falha na API permitia também aceder aos dados de localização em tempo real. A Porsche foi uma das afetadas, onde os investigadores conseguiram aceder aos sistemas internos da empresa, onde se encontram dados de localização de vários veículos com este sistema ativo, através das soluções da marca Spireon.
Tendo em conta que todas as falhas foram corrigidas, e a divulgação das mesmas feita de forma responsável, estas não podem mais ser exploradas. Não se acredita que as mesmas tenham sido usadas para atividades maliciosas ou conhecidas publicamente antes de terem sido corrigidas.
Nenhum comentário
Seja o primeiro!