BMW, Mercedes, Toyota i inni popularni producenci samochodów używają wrażliwych interfejsów API, które mogły umożliwić atakującym wykonywanie szkodliwych działań.

Podatności wykryte przez ekspertów (przez Sam’a Curry’iego i jego zespół) dotyczyły pojazdów popularnych marek, m.in. Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Genesis, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar, Land Rover. Zespół odkrył również wady w usługach świadczonych przez takich dostawców, jak Reviver, SiriusXM i Spireon.

Jakiego typu były to podatności?

Wykorzystanie niektórych luk dało ekspertom dostęp do setek krytycznych aplikacji wewnętrznych Mercedesa za pośrednictwem niewłaściwie skonfigurowanego logowania SSO. Atakujący mógł je również wykorzystać do zdalnego wykonania kodu (RCE – czyli najbardziej pożądana i krytyczna podatność) na wielu systemach. Luki umożliwiły również atakującym dostęp do zawartości pamięci niektórych systemów, prowadząc do ujawnienia danych osobowych pracownika/klienta Mercedesa.

Eksperci mieli również dostęp do dowolnej aplikacji zablokowanej za pomocą SSO w imieniu dowolnego pracownika, w tym aplikacji używanych przez pracowników zdalnych i dealerów

cały artykuł dostępny jest tu: https://securityaffairs.com/140328/hacking/bmw-mercedes-toyota-other-carmakers-flaws.html?web_view=true