Red Hot Cyber
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Menu
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Redazione RHC : 4 Gennaio 2023 14:32
I ricercatori di sicurezza, incluso il ricercatore di sicurezza delle applicazioni Web Sam Curry, hanno scoperto gravi vulnerabilità in diverse vetture come Ferrari, BMW, Toyota, Ford e altre aziende automobilistiche.
Le vulnerabilità divulgate variano in base al produttore e alle relative specifiche.
Uno tra i tanti hack riportati dal gruppo di ricercatori include la compromissione di un sistema segreto utilizzato dalla AT&T.
Supporta Red Hot Cyber attraverso
Questo sistema potrebbe potenzialmente consentire ad un attore di minacce di inviare e ricevere messaggi di testo, recuperare la geolocalizzazione in tempo reale e disabilitare centinaia di milioni di schede SIM installate su veicoli Tesla, Subaru, Toyota e Mazda, e altre ancora.
“L’impatto di questa vulnerabilità è andato ben oltre la portata dell’hacking automobilistico e ha colpito quasi tutti i settori (quasi tutto ciò che utilizza una scheda SIM)”, hanno aggiunto i ricercatori .
Anche Spireon, la più grande società di telematica indipendente del Nord America, si è trovata sotto i riflettori.
Le sue vulnerabilità scoperte includono l’esecuzione di codice remoto sui sistemi principali per la gestione di 1,2 milioni di account utente; accesso amministratore completo a un pannello di amministrazione a livello aziendale che consente di inviare comandi arbitrari a circa 15,5 milioni di veicoli; la capacità di prendere completamente il controllo di qualsiasi veicolo, compresi quelli della polizia e le ambulanze.
Le vulnerabilità di delle autovetture della casa tedesca includevano l’esecuzione di codice in modalità remota su più sistemi, così come Single Sign-On (SSO) configurato in modo improprio, un metodo per autenticare gli utenti, che forniva l’accesso a molte applicazioni interne mission-critical e perdite di memoria che potevano portare un malintenzionato ad accedere afli account.
BMW e Rolls Royce di proprietà del BMW Group, presentavano vulnerabilità SSO di base, consentendo ai ricercatori di accedere a qualsiasi applicazione dei dipendenti per loro conto.
Anche la famosa casa automobilistica di Maranello è stata osservata non avere un controllo accessi corretto che consente a un utente malintenzionato di gestire gli account di amministrazione in “back office”, che potrebbero portare malintenzionati ad accedere potenzialmente a tutti i record dei clienti Ferrari o a impossessarsi di qualsiasi account cliente Ferrari.
Secondo i ricercatori, l’IDOR (Insecure Direct Object References) Toyota Financial, ha una vulnerabilità che rivela il nome, il numero di telefono, l’indirizzo e-mail e lo stato del prestito di qualsiasi cliente finanziario Toyota.
Altri giganti con vulnerabilità scoperte includevano Ford, SiriusXM, Reviver, Jaguar, Porsche, Land Rover, Hyundai, Genesis, Kia, Honda, Infiniti, Nissan e Acura.
Tutte le vulnerabilità scoperte dai ricercatori sono state segnalate nel 2022 e sono state corrette dai rispettivi vendor.
RedazioneRedazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009
