De multiples bogues affectant des millions de véhicules de 16 fabricants différents pourraient être utilisés pour déverrouiller, démarrer et suivre les voitures, en plus d’affecter la vie privée des propriétaires de voitures.
Les vulnérabilités de sécurité ont été trouvés dans les API automobiles alimentant Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce, Toyota ainsi que dans les logiciels de Reviver, SiriusXM et Spireon.
Les failles couvrent une large gamme, allant de celles qui donnent accès aux systèmes internes de l’entreprise et aux informations des utilisateurs aux faiblesses qui permettraient à un attaquant d’envoyer à distance des commandes pour exécuter du code.
La recherche s’appuie sur des découvertes antérieures de la fin de l’année dernière, lorsque le chercheur de Yuga Labs, Sam Curry et al, a détaillé les failles de sécurité dans un service de véhicule connecté fourni par SiriusXM qui pourraient potentiellement exposer les voitures à des attaques à distance.
Le plus grave des problèmes, qui concerne la solution télématique de Spireon, aurait pu être exploité pour obtenir un accès administratif complet, permettant à un adversaire d’émettre des commandes arbitraires à environ 15,5 millions de véhicules ainsi que de mettre à jour le micrologiciel de l’appareil.
« Cela nous aurait permis de suivre et d’éteindre les démarreurs de la police, des ambulances et des véhicules des forces de l’ordre pour un certain nombre de grandes villes différentes et d’envoyer des commandes à ces véhicules », ont déclaré les chercheurs.
Les vulnérabilités identifiées dans Mercedes-Benz pourraient permettre l’accès aux applications internes via un système d’authentification unique (SSO) mal configuré, tandis que d’autres pourraient permettre la prise de contrôle du compte utilisateur et la divulgation d’informations sensibles.
D’autres failles permettent d’accéder ou de modifier les dossiers des clients, les portails internes des concessionnaires, de suivre les emplacements GPS des véhicules en temps réel, de gérer les données de plaque d’immatriculation pour tous les clients Reviver et même de mettre à jour le statut du véhicule comme « volé ».
Alors que toutes les vulnérabilités de sécurité ont depuis été corrigées par les fabricants respectifs après une divulgation responsable, les résultats soulignent la nécessité d’une stratégie de défense en profondeur pour contenir les menaces et atténuer les risques.
« Si un attaquant était capable de trouver des vulnérabilités dans les terminaux API utilisés par les systèmes télématiques des véhicules, il pourrait klaxonner, faire clignoter les lumières, suivre à distance, verrouiller/déverrouiller et démarrer/arrêter les véhicules, complètement à distance », ont noté les chercheurs.