No contexto: Aplicativos remotos para carros são uma grande conveniência. Adoro ligar remotamente meu Subaru Legacy para permitir que ele aqueça um pouco agora que o tempo está esfriando. No entanto, esses recursos não são isentos de riscos. Alguns são calculados. Por exemplo, você pode limitar as chances de roubo de carro não destravando ou ligando o carro, a menos que tenha uma linha de visão direta. Outras ameaças estão fora de suas mãos, como a segurança do aplicativo remoto.
Esses convenientes aplicativos de carro remoto que permitem iniciar, desbloquear, buzinar e até localizar seu carro a partir do telefone podem não ser tão seguros quanto você pensava. Os hackers descobriram uma maneira de fazer todas essas coisas sem precisar de suas credenciais de login.
O truque trabalhado para várias marcas, incluindo veículos Acura, Honda, Infiniti e Nissan. Também pode funcionar em BMW, Hyundai, Jaguar, Land Rover, Lexus, Subaru e Toyota, pois todos usam o mesmo provedor telemático. A lista de carros era tão ampla porque parece que a SiriusXM é a empresa que lida com serviços remotos para todos esses fabricantes.
Mais hacking de carros!
No início deste ano, conseguimos desbloquear, iniciar, localizar, piscar e buzinar remotamente qualquer veículo Honda, Nissan, Infiniti e Acura conectado remotamente, completamente não autorizado, sabendo apenas o número VIN do carro.
Veja como o encontramos e como funciona: pic.twitter.com/ul3A4sT47k
—Sam Curry (@samwcyo) 30 de novembro de 2022
Os hackers não sabiam que o SiriusXM estava nessa linha de negócios, já que é mais conhecido por sua funcionalidade de rádio via satélite. No entanto, se você possui alguma dessas marcas, provavelmente já sabe que a SiriusXM está por trás dos serviços remotos do seu carro, pois você precisa criar uma conta para usá-los.
Hacker autoproclamado, caçador de recompensas de bugs e engenheiro de segurança da equipe do Yuga Labs Sam Curry explicou em um tópico no Twitter que tudo o que ele e sua equipe precisavam para acessar qualquer perfil de motorista era o número de identificação do veículo (VIN). Este código é único para todos os carros. No entanto, é facilmente acessado com um passeio por qualquer estacionamento, pois é visível através do para-brisa no painel da maioria dos veículos.
Os pesquisadores demoraram um pouco para fazer a engenharia reversa dos aplicativos, mas como o SiriusXM colocou todos os seus ovos em uma cesta, eles precisaram de apenas um para uma prova de conceito – Nissan Connect. Eles contataram alguém que possuía um Nissan e pegaram suas credenciais emprestadas para se aprofundar no processo de autenticação.
Ao explorar esta avenida, continuamos vendo SiriusXM referenciado no código-fonte e na documentação relativa à telemática do veículo.
Isso foi superinteressante para nós, porque não sabíamos que o SiriusXM oferecia nenhuma funcionalidade de gerenciamento remoto de veículos, mas acontece que eles oferecem! pic.twitter.com/Thxkdkdhn4
—Sam Curry (@samwcyo) 30 de novembro de 2022
Os aplicativos funcionam se comunicando com um domínio de propriedade da SiriusXM, não com o fabricante do carro, como se poderia pensar intuitivamente. Por tentativa e erro, Curry descobriu que o único parâmetro com o qual o aplicativo NissanConnect e o servidor de autenticação hospedado se importavam era “customerId”. Alterar outros campos, como “vin”, não surtiu efeito.
Durante a espionagem, a equipe descobriu que o campo customerId tinha um prefixo “nissancust” e um cabeçalho “Cv-Tsp” que especificava “NISSAN_17MY” para o veículo de teste. Se eles alterassem qualquer uma dessas variáveis, as solicitações falhariam. Então eles colocaram esse ponto final em segundo plano e se concentraram em outros.
Várias horas depois, os pesquisadores encontraram uma resposta HTTP que tinha um “formato vin [that] parecia estranhamente semelhante ao prefixo “nissancust” da solicitação HTTP anterior.” Então, eles tentaram enviar o ID com prefixo VIN como o customerId. Surpreendentemente, ele retornou um token de portador, que foi uma espécie de momento eureca. Eles tentaram usar o portador token para enviar uma solicitação de busca para o perfil do usuário e funcionou!
O formato do parâmetro “customerId” era interessante, pois havia um prefixo “nissancust” para o identificador junto com o cabeçalho “Cv-Tsp” que especificava “NISSAN_17MY”.
Quando alteramos qualquer uma dessas entradas, essa solicitação falhou.
—Sam Curry (@samwcyo) 30 de novembro de 2022
Os pesquisadores acessaram várias informações do cliente via HTTP, incluindo o nome da vítima, número de telefone, endereço e detalhes do carro. Usando isso como uma estrutura, eles criaram um script python para acessar os detalhes do cliente de qualquer VIN inserido. Mais cutucadas e insistências levaram Curry a descobrir que ele podia não apenas visualizar as informações da conta, mas também usar o acesso para enviar solicitações de comando ao carro.
“Poderíamos executar comandos em veículos e obter informações do usuário das contas sabendo apenas o número VIN da vítima, algo que estava no para-brisa”, tuitou Curry. “Conseguimos desbloquear, iniciar, localizar, piscar e buzinar remotamente qualquer veículo Honda, Nissan, Infiniti e Acura conectado remotamente, completamente não autorizado, sabendo apenas o número VIN [sic] do carro.”
Ele retornou “200 OK” e um token de portador! Isso foi emocionante, estávamos gerando algum token e indexando o VIN arbitrário como o identificador.
Para ter certeza de que isso não estava relacionado ao nosso JWT de sessão, descartamos completamente o parâmetro Authorization e ainda funcionou! pic.twitter.com/zCdCHQfCcY
—Sam Curry (@samwcyo) 30 de novembro de 2022
Além disso, as chamadas de API para serviços telemáticos funcionavam mesmo se o usuário não tivesse mais uma assinatura SiriusXM ativa. Curry também observou que poderia inscrever ou cancelar a inscrição de proprietários de veículos no serviço à vontade.
Não entre em pânico se você tiver uma dessas marcas e usar sua funcionalidade remota. A Yuga Labs contatou a SiriusXM sobre a brecha de segurança e imediatamente emitiu um patch antes que os pesquisadores anunciassem a vulnerabilidade no início desta semana.
Link do Autor