Gairebé vint fabricants i serveis d’automòbils contenien vulnerabilitats de seguretat d’API que podrien haver permès als pirates informàtics executar activitats malicioses, des de desbloquejar, arrencar i rastrejar automòbils fins a exposar la informació personal dels clients.

Les falles de seguretat van afectar diverses marques reconegudes, com ara BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota i Genesis.

El descobriment d’aquestes falles d’API prové d’un equip d’investigadors dirigit per Sam Curry.

Els proveïdors afectats han solucionat tots els problemes presentats en l’informe proporcionat per Curry i per la qual cosa ara ja no es poden explotar. Les falles d’API més greus es van trobar en BMW i Mercedes-Benz, que es van veure afectats per vulnerabilitats de SSO (inici de sessió únic) en tota l’empresa que van permetre als atacants accedir als sistemes interns.

D’altra banda, per a BMW, els investigadors van poder accedir als portals interns dels concessionaris, consultar els VIN de qualsevol automòbil i recuperar documents de vendes que contenien detalls confidencials dels propietaris.

L’explotació d’altres falles de l’API va permetre als investigadors accedir a la PII (informació d’identificació personal) dels propietaris d’automòbils de KIA, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Roll Royce, Ferrari, Porsche i Toyota.

En els casos de marques d’alta gamma, el fet de revelar informació dels propietaris és particularment perillós perquè, en molts casos, les dades inclouen informació de vendes, ubicació física i direccions dels clients. Per exemple, Ferrari sofria d’un SSO mal implementat en el seu CMS, la qual cosa exposava les rutes API backend i permetia extreure credencials de fragments de codi JavaScript. D’aquesta manera, un atacant podria explotar aquestes falles per accedir, modificar o eliminar qualsevol compte de client de Ferrari, administrar el perfil del seu vehicle o establir-se com a propietari d’un vehicle.

Aquestes vulnerabilitats també podrien haver permès als pirates informàtics rastrejar automòbils en temps real, introduint riscs físics potencials i afectant la privacitat de milions de propietaris d’automòbils. En aquest aspecte, Porsche va ser una de les marques afectades.

Curry il·lustra com aquestes falles els van permetre marcar un vehicle com “ROBAT” en el panell Reviver, la qual cosa automàticament informaria la policia sobre l’incident, posant al propietari/conductor en un risc innecessari.

Sam Curry també va compartir el següent: “En comprar un vehicle usat, assegureu-vos que s’hagi eliminat el compte del propietari anterior. Empreu contrasenyes segures i configureu 2FA (Doble factor d’autenticació) si és possible per aplicacions i serveis que es vinculen al seu vehicle”.