Забудьте про отмычки. Теперь любую машину можно угнать через браузер

Harness Звэр автомобиль уязвимость API дилеры удалённый доступ
Забудьте про отмычки. Теперь любую машину можно угнать через браузер
Harness Звэр автомобиль уязвимость API дилеры удалённый доступ

Уязвимость в дилерском портале дала полный контроль над чужими машинами.

image

В системе онлайн-доступа для автодилеров одной из крупнейших мировых автомобильных компаний найдена уязвимость — достаточно было немного покопаться в коде страницы. Исследователь безопасности Итон Звэр из компании Harness сообщил , что с помощью найденной уязвимости смог создать административную учётную запись с полными правами доступа ко внутреннему порталу производителя. Брешь позволяла получить конфиденциальные данные клиентов, информацию о транспортных средствах и даже удалённо управлять функциями автомобилей — вплоть до их разблокировки.

Звэр, ранее уже находивший ошибки в системах автопроизводителей, обнаружил проблему случайно — как часть личного проекта на выходных. Он выяснил, что при загрузке страницы входа в систему, в браузере клиента подгружался некорректный код, который можно было изменить, обходя все механизмы аутентификации. После этого становилось возможным создать учётную запись «национального администратора», дающую доступ более чем к тысяче дилерских точек по всей территории США.

Через этот интерфейс можно было просматривать личные данные клиентов, включая контактную и частично финансовую информацию, а также управлять связанными с автомобилями сервисами. В числе прочего — отслеживание в реальном времени служебных и транспортируемых машин, использование телематических систем и даже отмена отправок автомобилей.

Одним из наиболее тревожных элементов в системе стал инструмент поиска клиентов, в котором достаточно было знать имя и фамилию, чтобы получить доступ к информации о конкретном автомобиле и его владельце. Звэр в качестве примера использовал VIN-номер машины, припаркованной на улице, и подтвердил, что этого было достаточно, чтобы связать автомобиль с конкретным человеком. По его словам, можно было инициировать процедуру передачи машины под контроль другого пользователя — достаточно было лишь подтвердить своё намерение, без какой-либо верификации. Он испытал этот сценарий с согласия своего друга и фактически получил возможность управлять чужим автомобилем через мобильное приложение.

Не менее опасной оказалась возможность входа в связанные системы других дилеров через единый логин. Благодаря механизму SSO (Single Sign-On), созданная учётная запись администратора могла не только перемещаться между различными частями инфраструктуры, но и имитировать вход под другим пользователем. Это позволяло без ведома целевого сотрудника получить доступ к его правам, данным и системам — аналогичный механизм ранее обнаруживался в портале дилеров Toyota.

Исследователь назвал такую архитектуру настоящей «бомбой замедленного действия», подчёркивая, что пользователи могли незаметно просматривать и использовать критически важную информацию, включая сделки, лиды и внутреннюю аналитику. Сообщается, что после приватного раскрытия проблемы в феврале 2025 года компания устранила уязвимость в течение недели. При этом расследование показало, что ранее эксплойт не использовался — Звэр, по-видимому, оказался первым, кто обнаружил и сообщил о дырах в системе.

По словам Звэра, корень проблемы снова оказался в банальном: сбои в системе аутентификации API. Всего две уязвимости открыли весь внутренний мир дилерской сети. Звэр считает, что это очередное напоминание: как только контроль за доступом рушится — рушится всё.