It is currently 22-08-2017 21:38

Исследователи продемонстрировали взлом автомобиля BMW через web-сайт производителя

Исследователи продемонстрировали взлом автомобиля BMW через web-сайт производителя

by sigismund » 2016-07-09 21:52:08


Уязвимости в web-сервисах производителя BMW могут позволить атакующему изменить настройки автомобиля.


Исследователь Бенджамин Кунц Мейри (Benjamin Kunz Mejri) из Vulnerability-Labs обнаружил две уязвимости в web-сервисах компании BMW, которые можно использовать для изменения настроек автомобилей. Уязвимости присутствуют на web-сайте и на портале ConnectedDrive.

Первая уязвимость позволяет злоумышленнику внедриться в текущую сессию пользователя на официальном портале BMW ConnectedDrive. Для идентификации в сервисе приложение использует уникальный идентификатор автомобиля (VIN - Vehicle Identification Number). Авторизованный пользователь портала может подменить свой VIN-номер на номер жертвы и внедриться в активную сессию.

Этот портал используется для установки на автомобиль различных информационных и развлекательных приложений, чтения email-сообщений, управления профилем водителя, управления устройствами умного дома, управления температурой, освещением и сигнализацией автомобиля и передачи информации о ситуации на дороге в реальном времени.

Вторая уязвимость – межсайтовый скриптинг, присутствующая на сайте официального онлайн-сервиса BMW в функционале восстановления пароля.

По заявлению Vulnerability-Labs, информация об уязвимостях была передана BMW еще в феврале текущего года. Производитель ответил исследователю лишь через 2 месяца после первоначального уведомления. Поскольку информация об исправлениях не была нигде опубликована производителем, исследователь решил обнародовать подобности уязвимостей.
sigismund
moderators
Сообщений: 788
Депозит: 0 BTC

Rating: 5