Hakeris atrado būdą apeiti prisijungimo apsaugas ir tapti visos sistemos administratoriumi
Programinės įrangos tiekimo įmonėje „Harness“ dirbantis saugumo tyrėjas Eaton Zveare atskleidė, kad vieno žinomo automobilių gamintojo internetinis atstovybių portalas turėjo rimtų saugumo spragų. Jis neįvardijo gamintojo, tačiau nurodė, kad tai plačiai žinomas prekės ženklas su keliais populiariais subprekės ženklais ir daugiau nei tūkstančiu atstovybių JAV.
Aptikta klaida leido jam pakeisti portalo prisijungimo puslapio kodą, apeiti autentifikavimo patikras ir susikurti „nacionalinio administratoriaus“ paskyrą. Turint tokį priėjimą buvo galima matyti klientų asmens ir finansinę informaciją, sekti transporto priemonių buvimo vietą, naudotis telematikos sistemomis bei nuotoliniu būdu valdyti kai kurias automobilių funkcijas[1].
Pasak tyrėjo, portale veikiantis nacionalinis paieškos įrankis leido pagal transporto priemonės VIN kodą ar vien tik vardą ir pavardę nustatyti savininko tapatybę. Realioje situacijoje jis, su savininko sutikimu, suporavo draugo automobilį su savo valdomu mobiliąja paskyra, taip įgydamas galimybę nuotoliniu būdu atrakinti automobilį.
Tokia procedūra portale reikalavo tik vartotojo patvirtinimo, be jokio papildomo tikrinimo. Tai reiškė, kad piktavalis galėtų perimti prieigą prie bet kurio automobilio, žinodamas tik minimaliai informacijos.
Spraga atvėrė kelią prie daugiau nei tūkstančio atstovybių duomenų
E. Zveare pabrėžė, kad gautas priėjimas suteikė galimybę pasiekti visų JAV atstovybių, prijungtų prie portalo, duomenis, tarp jų ir finansinę informaciją, klientų įrašus, potencialių klientų sąrašus ir kitą jautrią medžiagą.
Portalo „vieno prisijungimo“ (single sign-on) sistema leido peršokti iš vienos atstovybės sistemos į kitą, o administratoriaus teisės suteikė galimybę „apsimesti“ kitais vartotojais be jų prisijungimo duomenų. Tyrėjas pavadino tokias galimybes „saugumo košmaru“.
Be klientų duomenų, buvo prieinamos transporto priemonių sekimo sistemos, leidžiančios realiuoju laiku matyti nuomojamų ar pervežamų automobilių buvimo vietą ir net atšaukti jų keliones[2].
Nors E. Zveare tokių funkcijų neišbandė, jis teigė, kad vagys galėtų panaudoti šią spragą įsilaužti į automobilius ar juos apvogti. Gamintojas pripažino pažeidžiamumą ir, tyrėjui apie jį pranešus, per savaitę ištaisė klaidas.
Atvejis pabrėžė autentifikacijos svarbą ir galimas grėsmes automobilių savininkams
E. Zveare atkreipė dėmesį, kad šį pažeidžiamumą sukėlė vos dvi API klaidos, susijusios su autentifikacija. Jo teigimu, „jei autentifikacija įgyvendinama netinkamai, griūva visa sistema“.
Šis atvejis pabrėžė, kad gamintojų atstovybių portalai dažnai suteikia darbuotojams ir partneriams labai plačias prieigos teises, o nepakankamos apsaugos priemonės gali atverti kelią tiek į privačius duomenis, tiek į transporto priemonių valdymo funkcijas.
Tyrėjas planuoja pristatyti savo radinius „Def Con“ saugumo konferencijoje Las Vegase. Ekspertai primena, kad panašios spragos yra būtent tai, ką priežiūros institucijos, pavyzdžiui, JAV Federalinė ryšių komisija, nori padaryti sudėtingiau išnaudojamomis, jog tokios priemonės nebūtų panaudojamos persekiojimui ar kitoms nusikalstamoms veikoms.
