أدت الثغرات الأمنية الى اختراق تطبيقات السيارات وسرقة المعلومات
عانت العلامات التجارية العالمية للسيارات من نقاط ضعف متعددة يمكن اختراقها في السيارات والتطبيقات
أكثر من ستة ونصف دزينة من السيارات العالمية الكبرى أو العلامات التجارية ذات الصلة بها نقاط ضعف في واجهات برمجة التطبيقات ، وتقنيات المعلومات ، والمكونات الأخرى التي يمكن أن تمكن الجهات الفاعلة في التهديد من التحكم في وظائف السيارة ، مثل فتح وبدء تشغيل المحركات وحتى الاستيلاء الكامل على التطبيقات والمركبات.
وفقًا للنتائج التي توصلت إليها مجموعة من سبعة باحثين ، فإن منتجات ما يصل إلى 16 شركة كبرى لتصنيع السيارات وثلاثة من بائعي تكنولوجيا المركبات بها ثغرات أمنية يمكن أن تؤدي إلى الاستحواذ على الحساب وتنفيذ التعليمات البرمجية عن بُعد (RCE) ، ناهيك عن تنفيذ الأوامر التي تؤدي إلى السيطرة المادية على السيارة.
يمكن أن تسمح بعض نقاط الضعف أيضًا بسرقة المعلومات من خلال توجيه المتسلل مباشرة إلى معلومات التعريف الشخصية لمستخدم السيارة (PII) المخزنة في تطبيق السيارة.
بشكل مثير للقلق ، تأثرت جميع منتجات Spireon ( وهي شركة تتبع المركبات عبر نظام تحديد المواقع العالمي GPS) ، المستخدمة في 15.5 مليون سيارة ولديها 1.2 مليون حساب. أدت إحدى هذه الثغرات الأمنية إلى تنفيذ التعليمات البرمجية عن بُعد على الأنظمة الأساسية المستخدمة لإدارة حسابات المستخدمين والأجهزة.
سمح خطأ آخر ، بالوصول إلى لوحة إدارة على مستوى الشركة والتي يمكن أن تسمح للقراصنة بقراءة أي موقع للجهاز ، وتحديث البرامج الثابتة للجهاز ، وإرسال أوامر عشوائية لفتح السيارة ، وتشغيل محركها.
كانت سيارات Toyota عرضة لـ IDOR ثغرة أمنية لمراجع الكائنات المباشرة غير الآمنة مما يسمح بالكشف عن الاسم ورقم الهاتف وعنوان البريد الإلكتروني وحالة القرض لأي من عملاء Toyota الماليين. كان لدى Jaguar و Land Rover أيضًا خطأ في IDOR يمكن أن يكشف عن كلمة المرور والاسم ورقم الهاتف والعنوان الفعلي ومعلومات السيارة.
يمكن إغلاق وفتح سيارات كيا وهوندا وإنفينيتي ونيسان وأكورا وهيونداي وجينيسيس بالكامل عن بعد. يمكن للقراصنة أيضًا بدء وإيقاف المحركات ، وتحديد موقع السيارة ، والمصابيح الأمامية ، وتزمير المركبات باستخدام رقم VIN فقط.
كانت هذه السيارات أيضًا عرضة للاستيلاء على الحساب عن بُعد ومعلومات تحديد الهوية الشخصية ، بما في ذلك الاسم ورقم الهاتف وعنوان البريد الإلكتروني والعنوان الفعلي.