عيوب الأمن في بوابة الويب الخاصة بشركة صناعة السيارات ، دع أحد المتسللين يفتحون سيارات عن بعد من أي مكان
وقال باحث أمني إن العيوب في بوابة الوكالة عبر الإنترنت لشركة صناعة السيارات كشفت المعلومات الخاصة وبيانات المركبات لعملائها ، ويمكن أن تسمح للمتسللين باقتحام أي من سيارات عملائها عن بُعد.
أخبر إيتون زفيري ، الذي يعمل كباحث أمني في شركة تسليم تسليم البرمجيات ، TechCrunch أن العيب الذي اكتشفه سمح بإنشاء حساب مسؤول يمنح “الوصول غير المقيد” إلى بوابة الويب المركزية لشركة صناعة السيارات التي لم يكشف عن اسمها.
من خلال هذا الوصول ، كان من الممكن أن يشاهد المتسلل الضار البيانات الشخصية والمالية لعملاء صناعة السيارات ، وتتبع المركبات ، وتسجيل العملاء في الميزات التي تسمح للمالكين – أو المتسللين – بالتحكم في بعض وظائف سيارتهم من أي مكان.
قال Zveare إنه لا يخطط لتسمية البائع ، لكنه قال إنها كانت شركة صناعة سيارات معروفة على نطاق واسع مع العديد من العلامات التجارية الفرعية الشهيرة.
في مقابلة مع TechCrunch قبل حديثه في مؤتمر Def Con Security في لاس فيجاس يوم الأحد ، قال Zveare إن الأخطاء تبرز على أمن أنظمة الوكلاء هذه ، التي تمنح موظفيها وشركائها وصولًا واسعًا إلى معلومات العملاء والمركبة.
وقال لـ TechCrunch إن Zveare ، الذي وجد الأخطاء في أنظمة عملاء السيارات وأنظمة إدارة المركبات من قبل ، وجد العيب في وقت سابق من هذا العام كجزء من مشروع عطلة نهاية الأسبوع.
وقال إنه في حين أن العيوب الأمنية في نظام تسجيل الدخول بالبوابة كانت تحديًا للعثور عليها ، بمجرد العثور عليها ، سمحت له الحشرات بتجاوز آلية تسجيل الدخول تمامًا من خلال السماح له بإنشاء حساب “مسؤول وطني” جديد.
كانت العيوب مشكلة لأن رمز العربات التي تجرها الدواب تم تحميلها في متصفح المستخدم عند فتح صفحة تسجيل الدخول للبوابة ، مما يسمح للمستخدم – في هذه الحالة ، ZVeare – بتعديل الكود لتجاوز اختبارات أمان تسجيل الدخول. أخبر Zveare TechCrunch أن صانع السيارات لم يجد أي دليل على الاستغلال السابق ، مما يشير إلى أنه كان أول من وجدها والإبلاغ عن صانع السيارات.
عند تسجيل الدخول ، منح الحساب الوصول إلى أكثر من 1000 من تجار صانعي السيارات في جميع أنحاء الولايات المتحدة ، كما قال لـ TechCrunch.
وقال زفيري ، في وصف الوصول: “لا أحد يعلم أنك تبحث بصمت في جميع بيانات هؤلاء التجار ، وجميع بياناتهم المالية ، وجميع أغراضهم الخاصة ، وجميع خيوطهم” ، في وصف الوصول.
قال Zveare إن أحد الأشياء التي وجدها داخل بوابة الوكالة كانت أداة بحث وطنية للبحث عن مستخدمي البوابة المسجلين بالبحث عن بيانات السيارة وسائق صانع السيارات.
في أحد الأمثلة الواقعة ، أخذ Zveare رقم التعريف الفريد للسيارة من الزجاج الأمامي للسيارة في موقف للسيارات العامة واستخدم الرقم لتحديد مالك السيارة. وقال Zveare إنه يمكن استخدام الأداة للبحث عن شخص يستخدم اسم العميل الأول والأخير فقط.
من خلال الوصول إلى البوابة ، قال Zveare إنه كان من الممكن أيضًا إقران أي مركبة بحساب الهاتف المحمول ، مما يتيح للعملاء التحكم عن بُعد في بعض وظائف سيارتهم من التطبيق ، مثل فتح سياراتهم.
قال Zveare إنه جرب هذا في مثال حقيقي باستخدام حساب صديق وموافقته. في نقل الملكية إلى حساب يسيطر عليه ZVeare ، قال إن البوابة لا تتطلب سوى التصديق – وعدًا من الخنصر – بأن المستخدم الذي يقوم بنقل الحساب مشروع.
“لأغطيتي ، حصلت للتو على صديق وافق على السير سيارته ، وركضت مع ذلك” ، قال Zveare لـ TechCrunch. “لكن [the portal] يمكن أن تفعل ذلك بشكل أساسي لأي شخص فقط من خلال معرفة اسمه-أي نوع من الرعب يخرج قليلاً-أو يمكنني البحث عن سيارة في مواقف السيارات. “
قال Zveare إنه لم يختبر ما إذا كان بإمكانه الابتعاد ، لكنه قال إن الاستغلال يمكن أن يتعرض للإساءة من قبل اللصوص لاقتحام وسرقة العناصر من المركبات ، على سبيل المثال.
وكانت هناك مشكلة رئيسية أخرى في الوصول إلى بوابة صانع السيارات هذه هي أنه كان من الممكن الوصول إلى أنظمة الوكلاء الأخرى المرتبطة بالبوابة نفسها من خلال تسجيل الدخول المفرد ، وهي ميزة تتيح للمستخدمين تسجيل الدخول إلى أنظمة أو تطبيقات متعددة مع مجموعة واحدة فقط من بيانات اعتماد تسجيل الدخول. وقال Zveare إن أنظمة صانع السيارات للتجار جميعها مترابطة ، لذا من السهل القفز من نظام إلى آخر.
وقال إنه مع هذا ، كان لدى البوابة أيضًا ميزة سمحت للمسؤولين ، مثل حساب المستخدم الذي أنشأه ، إلى “انتحال” المستخدمين الآخرين ، مما يسمح بفعالية بالوصول إلى أنظمة الوكلاء الأخرى كما لو كانوا ذلك المستخدم دون الحاجة إلى تسجيل الدخول. وقال Zveare إن هذا كان مشابهًا لميزة موجودة في بوابة تاجر تويوتا المكتشفة في عام 2023.
وقال زفيري ، يتحدث عن ميزة تمييز المستخدمين: “إنها مجرد كوابيس أمنية تنتظر حدوثها”.
بمجرد وصوله إلى البوابة ، وجدت Zveare بيانات العميل التي يمكن تحديدها شخصيًا ، وبعض المعلومات المالية ، وأنظمة Telematics التي سمحت بتتبع الموقع في الوقت الفعلي للسيارات الإيجار أو المجاملة ، وكذلك السيارات التي يتم شحنها في جميع أنحاء البلاد ، وخيار إلغاءها-على الرغم من أن Zveare لم يحاول.
وقال Zveare إن الأخطاء استغرق حوالي أسبوع لإصلاحها في فبراير 2025 بعد فترة وجيزة من الكشف عن صانع السيارات.
وقال Zveare: “إن الوجبات الجاهزة هي أن اثنين فقط من نقاط الضعف في واجهة برمجة التطبيقات (API) فقط قد انفجرت الأبواب المفتوحة ، وهي مرتبطة دائمًا بالمصادقة”. “إذا كنت سترتكب هذه الخطأ ، فإن كل شيء يسقط فقط.”
