Ερευνητές ασφάλειας, συμπεριλαμβανομένου του ερευνητή ασφάλειας εφαρμογών Ιστού, Sam Curry, ανακάλυψαν σοβαρά τρωτά σημεία στη Ferrari, τη BMW, την Toyota, τη Ford και άλλες αυτοκινητοβιομηχανίες.
Τα αποκαλυπτόμενα τρωτά σημεία διέφεραν ανάλογα με τον κατασκευαστή και τις ιδιαιτερότητές τους. Οι ερευνητές βρήκαν τον πλήρη συμβιβασμό ενός άγνωστου συστήματος που χρησιμοποιείται από την AT&T. Θα μπορούσε ενδεχομένως να επιτρέψει σε έναν παράγοντα απειλής να στέλνει και να λαμβάνει μηνύματα κειμένου, να ανακτά ζωντανή γεωγραφική τοποθεσία και να απενεργοποιεί εκατοντάδες εκατομμύρια κάρτες SIM που είναι εγκατεστημένες σε οχήματα Tesla, Subaru, Toyota και Mazda, μεταξύ άλλων.
«Ο αντίκτυπος αυτής της ευπάθειας ξεπέρασε πολύ το πεδίο του hacking αυτοκινήτων και επηρέασε σχεδόν κάθε κλάδο (σχεδόν οτιδήποτε χρησιμοποιεί κάρτα SIM)».προσθέτουν οι ερευνητές.
Η μεγαλύτερη ανεξάρτητη από συσκευές εταιρεία τηλεματικής της Βόρειας Αμερικής Spireon βρέθηκε επίσης στο επίκεντρο. Τα τρωτά σημεία που ανακαλύφθηκαν περιελάμβαναν την απομακρυσμένη εκτέλεση κώδικα σε βασικά συστήματα για τη διαχείριση 1,2 εκατομμυρίων λογαριασμών χρηστών. πλήρης πρόσβαση διαχειριστή σε έναν πίνακα διαχείρισης σε όλη την εταιρεία που επιτρέπει την αποστολή αυθαίρετων εντολών σε περίπου 15,5 εκατομμύρια οχήματα και την πλοήγηση σε τοποθεσία. τη δυνατότητα να αναλάβει πλήρως οποιοδήποτε όχημα, συμπεριλαμβανομένων της αστυνομίας και των ασθενοφόρων.
Τα τρωτά σημεία της Mercedes-Benz περιελάμβαναν επίσης απομακρυσμένη εκτέλεση κώδικα σε πολλαπλά συστήματα, καθώς και ακατάλληλα διαμορφωμένη single sign-on (SSO) – μέθοδος για τον έλεγχο ταυτότητας των χρηστών – που παρείχε πρόσβαση σε πολλές εσωτερικές εφαρμογές κρίσιμες για την αποστολή και διαρροές μνήμης που θα μπορούσαν να οδηγήσουν σε πρόσβαση στον λογαριασμό.
Η BMW και η Rolls Royce, που ανήκουν στο BMW Group, είχαν επίσης βασικές ευπάθειες SSO, επιτρέποντας στους ερευνητές να έχουν πρόσβαση σε οποιαδήποτε εφαρμογή εργαζομένων για λογαριασμό τους.
Παρατηρήθηκε επίσης ότι η Ferrari στερείται ελέγχου πρόσβασης επιτρέποντας σε έναν εισβολέα να διαχειρίζεται λογαριασμούς χρηστών διαχειριστή “back office” υπαλλήλων και έχει τρωτά σημεία, τα οποία θα μπορούσαν να οδηγήσουν σε απειλές που ενδέχεται να έχουν πρόσβαση σε όλα τα αρχεία πελατών της Ferrari ή να εξαγοράσουν οποιονδήποτε λογαριασμό πελάτη της Ferrari.
Σύμφωνα με τους ερευνητές, το Insecure Direct Object References (IDOR) της Toyota Financial – μια ευπάθεια που προκύπτει από το σπασμένο έλεγχο πρόσβασης σε εφαρμογές web – αποκαλύπτει το όνομα, τον αριθμό τηλεφώνου, τη διεύθυνση email και την κατάσταση δανείου οποιουδήποτε οικονομικού πελάτη της Toyota.
Παρατηρήθηκε ότι η Ford εξαγοράζει λογαριασμό δυνητικού πελάτη μέσω ακατάλληλης ανάλυσης URL και αποκάλυψης πλήρους μνήμης στις αποκαλύψεις του Telematics API του οχήματος παραγωγής.
Άλλοι γίγαντες με ευπάθειες που ανακαλύφθηκαν ήταν οι SiriusXM, Reviver, Jaguar, Porsche, Land Rover, Hyundai, Genesis, Kia, Honda, Infiniti, Nissan και Acura.