Ciberseguridad 360 | Las fallas API de Toyota, Mercedes y BMW exponen la información personal de los propietarios

Casi veinte fabricantes y servicios de autom�viles conten�an vulnerabilidades de seguridad de API que podr�an haber permitido a los piratas inform�ticos realizar actividades maliciosas, desde desbloquear, arrancar y rastrear autom�viles hasta exponer la informaci�n personal de los clientes.

Las fallas de seguridad afectaron a marcas reconocidas, como BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota y Genesis.

Las vulnerabilidades tambi�n afectaron a las marcas de tecnolog�a de veh�culos Spireon y Reviver y al servicio de transmisi�n SiriusXM.

El descubrimiento de estas fallas de API proviene de un equipo de investigadores dirigido por Sam Curry, quien previamente revel� problemas de seguridad de Hyundai, Genesis, Honda, Acura, Nissan, Infinity y SiriusXM en noviembre de 2022 .

Si bien la divulgaci�n anterior de Curry explicaba c�mo los piratas inform�ticos podr�an usar estas fallas para desbloquear y arrancar autom�viles, ahora que ha pasado un per�odo de divulgaci�n de vulnerabilidades de 90 d�as desde que informaron estos problemas, el equipo ha publicado una publicaci�n de blog m�s detallada sobre las vulnerabilidades de la API.

Los proveedores afectados han solucionado todos los problemas presentados en este informe, por lo que ahora no se pueden explotar.

Acceso a portales internos

Las fallas de API m�s graves se encontraron en BMW y Mercedes-Benz, que se vieron afectadas por vulnerabilidades de SSO (inicio de sesi�n �nico) en toda la empresa que permitieron a los atacantes acceder a los sistemas internos.

Para Mercedes-Benz, los analistas pod�an acceder a m�ltiples instancias privadas de GitHub, canales de chat internos en Mattermost, servidores, instancias de Jenkins y AWS, sistemas XENTRY que se conectan a los autom�viles de los clientes y m�s.

Para BMW, los investigadores pudieron acceder a los portales internos de los concesionarios, consultar los VIN de cualquier autom�vil y recuperar documentos de ventas que contengan detalles confidenciales del propietario.

Adem�s, podr�an aprovechar las fallas de SSO para iniciar sesi�n como cualquier empleado o distribuidor y acceder a aplicaciones reservadas para uso interno.

Exponer detalles del propietario

La explotaci�n de otras fallas de la API permiti� a los investigadores acceder a la PII (informaci�n de identificaci�n personal) de los propietarios de autom�viles KIA, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Roll Royce, Ferrari, Ford, Porsche y Toyota. .

En los casos de autos ultra caros, revelar informaci�n del propietario es particularmente peligroso ya que, en algunos casos, los datos incluyen informaci�n de ventas, ubicaci�n f�sica y direcciones de clientes.

Ferrari sufr�a de un SSO mal implementado en su CMS, lo que expon�a las rutas API backend y permit�a extraer credenciales de fragmentos de JavaScript.

Un atacante podr�a explotar estas fallas para acceder, modificar o eliminar cualquier cuenta de cliente de Ferrari, administrar el perfil de su veh�culo o establecerse como propietario de un autom�vil.

GPS de seguimiento de veh�culos

Estas vulnerabilidades tambi�n podr�an haber permitido a los piratas inform�ticos rastrear autom�viles en tiempo real, introduciendo riesgos f�sicos potenciales y afectando la privacidad de millones de propietarios de autom�viles.

Porsche fue una de las marcas afectadas, con fallas en sus sistemas telem�ticos que permit�an a los atacantes recuperar ubicaciones de veh�culos y enviar comandos.

La soluci�n de rastreo GPS Spireon tambi�n era vulnerable a la divulgaci�n de la ubicaci�n del autom�vil, lo que afect� a 15,5 millones de veh�culos que usaban sus servicios e incluso permiti� el acceso completo de la administraci�n a su panel de administraci�n remota, lo que permiti� a los atacantes desbloquear autom�viles, encender el motor o desactivar el motor de arranque.

La tercera entidad afectada es Reviver, un fabricante de matr�culas digitales que era vulnerable al acceso remoto no autenticado a su panel de administraci�n que podr�a haberle dado a cualquier persona acceso a datos de GPS y registros de usuarios, la capacidad de cambiar los mensajes de las matr�culas y m�s.

Curry ilustra c�mo estas fallas les permitieron marcar un veh�culo como "ROBADO" en el panel Reviver, lo que autom�ticamente informar�a a la polic�a sobre el incidente, poniendo al propietario/conductor en un riesgo innecesario.

Minimizar la exposici�n

Los propietarios de autom�viles pueden protegerse de este tipo de vulnerabilidades al limitar la cantidad de informaci�n personal almacenada en los veh�culos o en las aplicaciones m�viles complementarias.

Tambi�n es esencial configurar la telem�tica del autom�vil en el modo m�s privado disponible y leer las pol�ticas de privacidad para comprender c�mo se utilizan los datos.

Sam Curry tambi�n comparti� los siguientes consejos con BleepingComputer que los propietarios deben seguir al comprar un autom�vil.

"Al comprar un autom�vil usado, aseg�rese de que se haya eliminado la cuenta del propietario anterior. Use contrase�as seguras y configure 2FA (autenticaci�n de dos factores) si es posible para aplicaciones y servicios que se vinculan a su veh�culo", advirti� Curry.

Fuente: BC.