Une faille dans le portail Web de Kia permet aux chercheurs de suivre et de pirater des voitures
-
Ce bug permet aux chercheurs de suivre des millions de voitures, de déverrouiller les portes et de démarrer les moteurs à volonté. (en fait, tout ce que votre appli vous permet de faire avec votre véhicule)
Lorsque les chercheurs en sécurité ont trouvé dans le passé des moyens de détourner les systèmes connectés à Internet des véhicules, leurs démonstrations de validation de principe tendaient à montrer, heureusement, que le piratage des voitures est difficile. Des exploits comme ceux que les pirates ont utilisés pour prendre le contrôle à distance d’une Chevrolet Impala en 2010 ou d’une Jeep en 2015 ont nécessité des années de travail et des astuces ingénieuses : rétro-ingénierie du code obscur des unités télématiques des voitures, transmettant des logiciels malveillants à ces systèmes. via des tonalités audio diffusées via des connexions radio, ou même en plaçant un disque contenant un fichier musical contenant des logiciels malveillants dans le lecteur de CD de la voiture.
Cet été, un petit groupe de pirates a démontré une technique considérablement plus simple pour pirater et suivre des millions de véhicules, aussi simple que de trouver un simple bug sur un site Web.
Aujourd’hui, un groupe de chercheurs indépendants en sécurité a révélé avoir découvert une faille dans un portail Web exploité par le constructeur automobile Kia, qui permettait aux chercheurs de réaffecter le contrôle des fonctionnalités connectées à Internet de la plupart des véhicules Kia modernes, des dizaines de modèles représentant des millions de voitures. sur la route, du smartphone du propriétaire d’une voiture au téléphone ou à l’ordinateur des pirates. En exploitant cette vulnérabilité et en créant leur propre application personnalisée pour envoyer des commandes aux voitures cibles, ils ont pu scanner pratiquement n’importe quelle plaque d’immatriculation de véhicule Kia connectée à Internet et, en quelques secondes, acquérir la possibilité de suivre l’emplacement de cette voiture, de la déverrouiller, de klaxonner. , ou démarrer son allumage à volonté.
Après que les chercheurs ont alerté Kia du problème en juin, Kia semble avoir corrigé la vulnérabilité de son portail Web, bien qu’elle ait déclaré à l’époque à WIRED qu’elle enquêtait toujours sur les conclusions du groupe et qu’elle n’avait pas répondu aux e-mails de WIRED depuis lors. Mais le correctif de Kia est loin d’être la fin des problèmes de sécurité Web de l’industrie automobile, affirment les chercheurs. Le bug Web qu’ils ont utilisé pour pirater Kias est, en fait, le deuxième du genre qu’ils ont signalé à l’entreprise appartenant à Hyundai ; ils ont trouvé une technique similaire pour détourner les systèmes numériques de Kias l’année dernière. Et ces bugs ne sont que deux parmi une multitude de vulnérabilités similaires sur le Web qu’ils ont découvertes au cours des deux dernières années et qui ont affecté les voitures vendues par Acura, Genesis, Honda, Hyundai, Infiniti, Toyota, etc.
“Plus nous étudions ce sujet, plus il devenait évident que la sécurité Web des véhicules était très mauvaise”, déclare Neiko “spectres” Rivera, l’un des chercheurs qui ont découvert la dernière vulnérabilité de Kia et qui ont travaillé avec un groupe plus large. responsable de la précédente série de problèmes de sécurité automobile sur le Web révélés en janvier de l’année dernière.
« Ces problèmes ponctuels ne cessent de surgir », explique Sam Curry, un autre membre du groupe de piratage automobile, qui travaille comme ingénieur en sécurité pour la société Web3 Yuga Labs, mais affirme avoir effectué cette recherche de manière indépendante. “Cela fait deux ans, il y a eu beaucoup de bon travail pour résoudre ce problème, mais il semble toujours vraiment faillible.”
Lire une plaque d’immatriculation, pirater une voiture
Avant d’alerter Kia sur sa dernière faille de sécurité, le groupe de recherche a testé sa technique basée sur le Web sur une poignée de Kia (locations, voitures d’amis, même chez les concessionnaires) et a constaté que cela fonctionnait dans tous les cas. Ils ont également montré la technique à WIRED, en la démontrant sur la Kia Soul 2020 d’un chercheur en sécurité qui leur a été présenté quelques minutes plus tôt dans un parking à Denver, au Colorado, comme le montre la vidéo ci-dessus.
La technique de piratage Kia basée sur le Web du groupe ne permet pas à un pirate informatique d’accéder aux systèmes de conduite tels que la direction ou les freins, et ne permet pas non plus de surmonter ce que l’on appelle l’antidémarrage qui empêche une voiture de démarrer, même si son contact est démarré. Il aurait toutefois pu être combiné avec des techniques de neutralisation des dispositifs d’immobilisation populaires parmi les voleurs de voitures ou utilisé pour voler des voitures bas de gamme dépourvues de dispositifs d’immobilisation, y compris certaines Kia.
Même dans les cas où elle n’autorisait pas le vol pur et simple d’une voiture, la faille Web aurait pu créer d’importantes opportunités de vol du contenu d’une voiture, de harcèlement des conducteurs et des passagers, ainsi que d’autres problèmes de confidentialité et de sécurité.
“Si quelqu’un vous interrompait dans la circulation, vous pouviez scanner sa plaque d’immatriculation, savoir où il se trouvait à tout moment et entrer par effraction dans sa voiture”, explique Curry. “Si nous n’avions pas porté ce problème à l’attention de Kia, quiconque pourrait interroger la plaque d’immatriculation de quelqu’un pourrait essentiellement le traquer.” Pour les Kia équipées d’une caméra à 360 degrés, cette caméra était également accessible aux pirates. En plus de permettre le détournement de fonctionnalités connectées dans les voitures elles-mêmes, dit Curry, la faille du portail Web a également permis aux pirates d’interroger un large éventail d’informations personnelles sur les clients Kia : noms, adresses e-mail, numéros de téléphone, adresses personnelles et même itinéraires de conduite passés dans les voitures. dans certains cas, une fuite de données potentiellement massive.
La technique de piratage de Kia que le groupe a trouvée fonctionne en exploitant une faille relativement simple dans le backend du portail Web de Kia destiné aux clients et aux concessionnaires, qui est utilisé pour configurer et gérer l’accès aux fonctionnalités de sa voiture connectée. Lorsque les chercheurs ont envoyé des commandes directement à l’API de ce site Web (l’interface qui permet aux utilisateurs d’interagir avec ses données sous-jacentes), ils ont déclaré avoir constaté que rien ne les empêchait d’accéder aux privilèges d’un concessionnaire Kia, comme l’attribution ou la réattribution de contrôle. des fonctionnalités des véhicules à tout compte client qu’ils ont créé. « C’est vraiment simple. Ils ne vérifiaient pas si un utilisateur était un revendeur », explique Rivera. “Et c’est en quelque sorte un gros problème.”
Le portail Web de Kia permettait de rechercher des voitures en fonction de leur numéro d’identification du véhicule (VIN). Mais les pirates ont découvert qu’ils pouvaient trouver rapidement le VIN d’une voiture après avoir obtenu son numéro de plaque d’immatriculation à l’aide du site Web PlateToVin.com.
Plus largement, ajoute Rivera, tout concessionnaire utilisant le système semblait se voir confier un contrôle choquant sur les caractéristiques des véhicules liées à un compte particulier. « Les concessionnaires ont beaucoup trop de pouvoir, même sur les véhicules qui ne touchent pas leur terrain », explique Rivera.
Une douzaine de sites de constructeurs automobiles, des millions de voitures hackables
Curry et Rivera, qui ont travaillé avec deux autres chercheurs pour développer leur technique de piratage, ont rapporté leurs découvertes à Kia peu de temps après les avoir démontrées à WIRED en juin, et la société a répondu à une demande de WIRED pour indiquer qu’elle enquêtait sur leurs découvertes. “Nous prenons cette question très au sérieux et apprécions notre collaboration avec les chercheurs en sécurité”, a écrit un porte-parole.
Peu de temps après que les chercheurs ont signalé le problème, Kia a apporté une modification à l’API de son portail Web qui semblait bloquer leur technique, selon les chercheurs. Puis, en août, Kia a déclaré aux chercheurs qu’elle avait validé leurs résultats mais qu’elle travaillait toujours à la mise en œuvre d’une solution permanente au problème. Kia n’a pas informé les chercheurs depuis ni répondu aux questions de WIRED. Mais après le délai standard de 90 jours accordé aux entreprises pour résoudre les problèmes de sécurité signalés par les chercheurs, les pirates ont décidé de rendre publiques leurs découvertes, même s’ils n’ont pas publié leur application de preuve de concept de piratage de Kia et ne prévoient pas de le faire. à.
Le groupe de recherche sur le piratage de Kia a commencé à se rassembler autour de l’idée de sonder les vulnérabilités des sites Web et des API des constructeurs automobiles à la fin de 2022. Quelques-uns d’entre eux séjournaient chez un ami sur un campus universitaire et jouaient avec l’application d’une entreprise de scooters mobiles. quand ils ont accidentellement déclenché tous les scooters de l’entreprise à travers le campus pour klaxonner et faire clignoter leurs lumières pendant 15 minutes . À ce stade, le groupe « est devenu très intéressé à essayer d’autres moyens de faire klaxonner plus de choses », comme l’écrivait Curry, y compris des véhicules plus importants que les scooters. Peu de temps après, Curry a découvert que Rivera, qui s’était longtemps concentré sur le piratage de voitures et avait auparavant travaillé chez le constructeur automobile Rivian, étudiait déjà les vulnérabilités Web dans la télématique des véhicules.
En janvier 2023, ils ont publié les premiers résultats de leurs travaux, une énorme collection de vulnérabilités Web affectant Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls Royce et Ferrari, qu’ils ont toutes publiées. avait signalé aux constructeurs automobiles. Pour au moins une demi-douzaine de ces entreprises, les bugs Web découverts par le groupe offraient au moins un certain niveau de contrôle des fonctionnalités connectées des voitures, ont-ils écrit, tout comme dans leur dernier hack Kia. D’autres, disent-ils, ont autorisé un accès non autorisé aux données ou aux applications internes des entreprises. D’autres encore ont ciblé un logiciel de gestion de flotte pour les véhicules d’urgence et auraient même pu empêcher ces véhicules de démarrer, pensent-ils, même s’ils n’avaient pas les moyens de tester en toute sécurité cette astuce potentiellement dangereuse.
En juin de cette année, dit Curry, il a découvert que Toyota semblait avoir encore une faille similaire dans son portail Web qui, en combinaison avec une fuite d’identification de concessionnaire qu’il a trouvée en ligne, aurait permis le contrôle à distance des fonctionnalités des véhicules Toyota et Lexus comme suivi, déverrouillage, klaxonnage et allumage. Il a signalé cette vulnérabilité à Toyota et a montré à WIRED un e-mail de confirmation semblant démontrer qu’il avait pu se réattribuer le contrôle des fonctionnalités connectées d’une Toyota cible sur le Web. Cependant, Curry n’a pas filmé de vidéo de cette technique de piratage de Toyota avant de la signaler à Toyota, et la société a rapidement corrigé le bug qu’il avait divulgué, mettant même temporairement son portail Web hors ligne pour empêcher son exploitation.
“À la suite de cette enquête, Toyota a rapidement désactivé les informations d’identification compromises et accélère les améliorations de la sécurité du portail, tout en désactivant temporairement le portail jusqu’à ce que les améliorations soient terminées”, a écrit un porte-parole de Toyota à WIRED en juin.
Plus de fonctionnalités intelligentes, plus de bugs stupides
Le nombre extraordinaire de vulnérabilités dans les sites Web des constructeurs automobiles qui permettent le contrôle à distance des véhicules est le résultat direct de la volonté des entreprises d’attirer les consommateurs, en particulier les jeunes, avec des fonctionnalités compatibles avec les smartphones, explique Stefan Savage, professeur d’informatique à l’UC San. Diego dont l’équipe de recherche a été la première à pirater la direction et les freins d’une voiture sur Internet en 2010 . “Une fois que vous avez connecté ces fonctionnalités utilisateur au téléphone, cet élément connecté au cloud, vous créez toute cette surface d’attaque dont vous n’aviez pas à vous soucier auparavant”, explique Savage.
Pourtant, dit-il, même lui est surpris par l’insécurité de tout le code Web qui gère ces fonctionnalités. « C’est un peu décevant de constater qu’il est aussi facile à exploiter qu’avant », dit-il.
Rivera affirme avoir constaté, au cours de ses années de travail dans le domaine de la cybersécurité automobile, que les constructeurs automobiles se concentrent souvent davantage sur les appareils « embarqués » (les composants numériques dans des environnements informatiques non traditionnels comme les voitures) plutôt que sur la sécurité Web, en partie parce que la mise à jour de ces appareils intégrés peut être difficile. beaucoup plus difficile et conduisent à des rappels. « Dès mes débuts, il était clair qu’il existait un écart flagrant entre la sécurité intégrée et la sécurité Web dans l’industrie automobile », explique Rivera. « Ces deux choses se mélangent très souvent, mais les gens n’ont d’expérience que dans l’une ou l’autre. »
Savage de l’UCSD espère que le travail des chercheurs en piratage de Kia pourrait contribuer à modifier cette orientation. Bon nombre des premières expériences de piratage très médiatisées qui ont affecté les systèmes embarqués des voitures, comme le rachat de Jeep en 2015 et le piratage de l’Impala en 2010 réalisé par l’équipe de Savage à l’UCSD, ont persuadé les constructeurs automobiles qu’ils devaient mieux donner la priorité à la cybersécurité embarquée, dit-il. Désormais, les constructeurs automobiles doivent également se concentrer sur la sécurité Web, même si cela implique des sacrifices ou des changements dans leurs processus.
« Comment décidez-vous : « Nous n’expédierons pas la voiture avant six mois parce que nous n’avons pas parcouru le code Web ? » C’est difficile à vendre », dit-il. “J’aimerais penser que ce genre d’événement amène les gens à examiner cette décision de manière plus approfondie.”
Source: https://arstechnica.com/cars/2024/09/flaw-in-kia-web-portal-let-researchers-track-hack-cars/
Initialement publié sur: https://www.wired.com/story/kia-web-vulnerability-vehicle-hack-track/
-
Les scandales Sony et Ubisoft incitent la Californie à interdire les ventes trompeuses de produits numériques
La nouvelle loi californienne nous rappelle que nous ne possédons ni jeux ni films.
La Californie est récemment devenue le premier État à interdire les ventes trompeuses de médias dits « en voie de disparition ».
Mardi, le gouverneur Gavin Newsom a promulgué la loi AB 2426, protégeant les consommateurs de biens numériques tels que les livres, les films et les jeux vidéo contre l’achat de contenu sans se rendre compte que l’accès n’était accordé que par le biais d’une licence temporaire.
Parrainée par Jacqui Irwin, membre de l’Assemblée démocrate, la loi interdit de « faire de la publicité ou d’offrir à la vente un bien numérique à un acheteur avec les termes acheter, acheter ou tout autre terme qu’une personne raisonnable comprendrait comme conférant un intérêt de propriété sans restriction dans le bien numérique, ou en complément d’une option de location à durée limitée.
À l’avenir, les vendeurs doivent clairement indiquer quand un acheteur reçoit uniquement une licence pour un bien numérique, plutôt que d’effectuer un achat. Les vendeurs doivent également clairement indiquer que l’accès au bien numérique pourrait être révoqué s’il ne conserve plus le droit de concéder sous licence ce bien.
Peut-être plus important encore, ces divulgations ne peuvent pas être enterrées dans les termes de service, mais “doivent être distinctes et séparées de tout autre terme et condition de la transaction que l’acheteur reconnaît ou accepte”, indique la loi.
Une exception s’applique aux produits annoncés en « langage simple » indiquant que « l’achat ou l’achat du bien numérique constitue une licence ». Il existe également des exceptions pour les biens gratuits et les services d’abonnement offrant un accès limité en fonction de la durée de l’abonnement. De plus, il est acceptable de faire la publicité d’un bien numérique si l’accès n’est jamais révoqué, par exemple lorsque les utilisateurs achètent un téléchargement permanent accessible hors ligne, quels que soient les droits d’un vendeur de licence sur le contenu.
Ubisoft et Sony dénoncés pour les préjudices causés aux consommateurs
Ubisoft et Sony dénoncent les préjudices causés aux consommateurs
Dans un communiqué de presse publié plus tôt ce mois-ci, Irwin a noté que la loi avait été rédigée pour « remédier au cas de plus en plus courant où les consommateurs perdent l’accès à leurs achats de médias numériques sans que ce soit de leur faute ».
Elle a souligné qu’Ubisoft avait révoqué les licences pour l’achat de son jeu vidéo The Crew en avril dernier et que Sony avait suscité des réactions négatives en menaçant de retirer l’accès aux émissions Discovery TV l’année dernière comme exemples frappants de préjudices causés aux consommateurs.
Irwin a noté que les États-Unis surveillaient ce problème depuis au moins 2016, lorsque le groupe de travail sur la politique Internet du ministère du Commerce a publié un livre blanc concluant que « les consommateurs bénéficieraient de plus d’informations sur la nature des transactions qu’ils concluent, y compris s’ils paient pour accéder au contenu ou pour en posséder une copie, afin d’inspirer une plus grande confiance et d’améliorer la participation au marché en ligne.
Il a fallu huit ans aux premiers législateurs de l’État pour donner suite à cette recommandation, a déclaré Irwin, soulignant que les vendeurs accordent de plus en plus de licences de contenu plutôt que de vendre des produits et offrent rarement des remboursements pour les « médias qui disparaissent ».
“Alors que les détaillants continuent de s’éloigner de la vente de supports physiques, le besoin de protection des consommateurs lors de l’achat de supports numériques est devenu de plus en plus important”, a déclaré Irwin. “AB 2426 garantira que la publicité fausse et trompeuse des vendeurs de médias numériques indiquant à tort aux consommateurs qu’ils sont propriétaires de leurs achats deviendra une chose du passé.”
Dans le communiqué de presse d’Irwin, Aaron Perzanowski, professeur de droit à l’Université du Michigan, a félicité la Californie pour avoir été pionnière avec une loi qui qualifie clairement cette pratique de publicité mensongère.
“Les consommateurs du monde entier méritent de comprendre que lorsqu’ils dépensent de l’argent pour des films, de la musique, des livres et des jeux numériques, ces soi-disant ‘achats’ peuvent disparaître sans préavis”, a déclaré Perzanowski. “Il reste encore un travail important à accomplir pour garantir les droits numériques des consommateurs, mais l’AB 2426 constitue une étape cruciale dans la bonne direction.”
Espérons que le bon sens frappe aussi en europe et que la “vente” soit éventuellement transformée en abonnement au prix réel d’une location.
