O pesquisador de segurança Eaton Zveare revelou uma falha crítica no portal de revendedores de uma grande montadora que poderia permitir que invasores desbloqueassem e ligassem veículos de consumo de qualquer lugar.
A vulnerabilidade, descoberto em uma obscura plataforma de software de revendedor centralizada usada por mais de 1.000 revendedores nos Estados Unidos, expõe um backdoor direto para serviços de carros conectados, permitindo o controle não autorizado de partida remota, fechaduras de portas e rastreamento de localização.
A plataforma suscetível, construída em um back-end Java com um front-end AngularJS e protegida por autenticação de dois fatores, destinava-se a gerenciar pedidos de vendas, leads de clientes e registros de veículos.
A pesquisa de Zveare demonstrou que os formulários de registro ocultos incorporados no HTML do portal podem ser expostos simplesmente alterando as propriedades CSS, ignorando a validação do token de convite e concedendo novos privilégios de criação de conta de usuário.
A partir daí, um invasor pode aproveitar um API que validou apenas identificadores de sessão em vez de funções de usuário, forjando contas de administrador nacional com privilégios totais no nível do revendedor.
Uma vez dotado de direitos de administrador nacional, o invasor pode escolher qualquer conta de revendedor e navegar até a interface de registro do consumidor do portal.
Um processo de três etapas – inserir o nome da vítima ou o Número de Identificação do Veículo (VIN), inserir leituras do hodômetro e hábitos de direção e confirmar os detalhes básicos da conta – aciona uma transferência de propriedade do veículo alvo.
O proprietário desavisado recebe apenas uma notificação automática por e-mail da transferência, sem nenhuma informação acionável para revertê-la. Os invasores podem então controlar o veículo por meio do aplicativo móvel oficial.
Zveare ressaltou que esse problema afeta todos os veículos equipados com o módulo de telemática padrão da montadora que remonta ao ano modelo 2012.
“Você só precisa do nome e sobrenome do alvo ou VIN, que pode ser raspado em segundos de um estacionamento”, alertou.
“Esta é uma aquisição silenciosa – sem e-mails maliciosos, sem phishing. Os revendedores eram confiáveis como a última milha para a inscrição, e essa confiança se torna a exploração.
Para agravar ainda mais o risco, Zveare revelou que um recurso de representação de usuário igualmente poderoso dentro do portal poderia ser abusado para alternar entre submarcas e sistemas de revendedores regionais, ignorando totalmente os controles de isolamento de sessão e a autenticação de dois fatores.
Ao manipular os identificadores do sistema SSO, um invasor com credenciais de administrador nacional pode obter acesso a plataformas subsidiárias, ampliando o escopo potencial do comprometimento.
A montadora, informada no início de fevereiro, reconheceu o vulnerabilidade e implementou patches de back-end para validar as funções do usuário em todos os endpoints da API.
A empresa confirmou a conclusão das correções e convidou a Zveare a verificar os esforços de remediação antes da divulgação pública.
Os clientes foram notificados para monitorar a atividade de suas contas e alterar suas credenciais do portal como uma precaução adicional.
Esse incidente destaca os riscos profundos representados por aplicativos corporativos com privilégios excessivos e ressalta a importância da validação de confiança zero para cada chamada de API.
À medida que a conectividade do veículo continua a se aprofundar, a superfície de ataque se expande além do infoentretenimento tradicional e dos aplicativos móveis para incluir portais de concessionárias e serviços.
Os especialistas em segurança pedem que as montadoras e fornecedores de primeiro nível realizem testes de penetração abrangentes, apliquem princípios de privilégios mínimos e auditem continuamente os controles de acesso para evitar violações semelhantes de alto impacto.
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIneXpara obter atualizações instantâneas!