Posté le décembre 3, 2022 à 7:32

UNE FAILLE DANS L’APPLICATION DE HYUNDAI PERMET À DES HACKERS DE DÉVERROUILLER ET DE DÉMARRER DES VOITURES À DISTANCE

Les modèles de voitures Hyundai et Genesis postérieurs à 2012 ont été exposés à des hackers. Ces derniers ont compromis ces véhicules en exploitant des vulnérabilités de l’application mobile, permettant aux hackers de déverrouiller et même de démarrer les véhicules à distance.

Vulnérabilité de l’application de Hyundai exploitée

Les chercheurs en sécurité ont détecté les problèmes affectant ces applications mobiles. Les chercheurs ont également exploré des mécanismes d’attaque similaires sur la plateforme « véhicule smart » de SiriusXM. Cette plateforme est utilisée dans d’autres modèles de voitures tels que Acura, FCA, Honda, Infinity, Nissan et Toyota.

La vulnérabilité a permis aux acteurs de la menace de « déverrouiller, démarrer, localiser, allumer les feux et klaxonner » les voitures à distance. Les chercheurs n’ont pas encore publié de rapport détaillé sur leurs découvertes. Cependant, une partie des informations sur les bugs a été publiée sur Twitter par le biais de deux menaces distinctes pour Hyundai et SiriusXM.

Les applications mobiles prises en charge par Hyundai et Genesis sont MyHyundai et MyGenesis. Ces applications permettent aux utilisateurs authentifiés de contrôler certaines fonctions du véhicule, comme le démarrage, l’arrêt, le verrouillage et le déverrouillage.

Après avoir intercepté le trafic généré par les deux applications, les chercheurs ont analysé les données, extrayant les appels API pour mener des investigations plus poussées. Ils ont découvert que la validation du propriétaire d’une voiture dépendait de l’adresse électronique de l’utilisateur. Cette adresse électronique était également incluse dans le corps JSON des requêtes POST.

Les analystes ont découvert par la suite que MyHyundai ne demandait jamais la confirmation d’un e-mail après l’enregistrement. Au lieu de cela, ils créaient un nouveau compte en utilisant l’adresse électronique du véhicule ciblé tout en intégrant un autre caractère de contrôle à la fin.

Ensuite, les attaquants ont envoyé une requête HTTP au point de terminaison Hyundai qui contenait l’adresse usurpée. Pour ce faire, ils ont utilisé le jeton JSON et l’adresse de la victime dans le corps JSON. Cela leur a permis de contourner l’exigence de validité.

Pour vérifier la possibilité d’utiliser cet accès pour lancer une attaque contre la voiture, les chercheurs ont tenté de déverrouiller une voiture à des fins de recherche. Ils ont réussi à déverrouiller la voiture après seulement quelques secondes.

L’attaque a été menée en plusieurs étapes avant d’être soutenue par un script Python personnalisé. Cela a permis aux attaquants de lancer l’attaque en utilisant uniquement l’adresse électronique de la cible.

« Comme l’exploitation de ce système impliquait de nombreuses étapes, nous avons pris toutes les requêtes nécessaires pour l’exploiter et les avons placées dans un script Python qui n’avait besoin que de l’adresse e-mail de la victime. Après avoir saisi celle-ci, vous pouviez alors exécuter toutes les commandes sur le véhicule et prendre le contrôle du compte réel », a déclaré Sam Curry, l’un des chercheurs.

Des problèmes avec SiriusXM

SiriusXM est un fournisseur de services télématiques qui est populaire auprès de nombreuses marques automobiles. Plus de 15 constructeurs automobiles utilisent ce service. Selon le fournisseur, il exploite 12 millions de voitures connectées qui peuvent prendre en charge plus de 50 services en utilisant une seule plateforme.

Les analystes de Yuga Labs ont détecté que certains des plus grands constructeurs automobiles ont adopté la technologie SiriusXM pour introduire des fonctions de gestion à distance dans leurs véhicules. Ces marques comprennent Acura, Lexus, BMW, Land Rover, Honda, Subaru, Hyundai, Toyota, Nissan, Infinity et Jaguar.

Les analystes ont analysé le trafic réseau en provenance de l’application Nissan. Ils ont détecté qu’il était désormais possible pour un acteur malveillant d’envoyer une fausse requête HTTP au point de terminaison en utilisant simplement le numéro d’identification du véhicule ciblé.

La réponse à la demande non autorisée contenait également le nom, l’adresse, le numéro de téléphone et les détails du véhicule de la cible. Il est facile pour un attaquant d’accéder à ces véhicules en repérant simplement le numéro d’identification.

Le numéro d’identification du véhicule est assez facile à identifier lorsqu’il est garé. Ces numéros sont généralement affichés sur la plaque, à la jonction du tableau de bord et du pare-brise. De ce fait, l’attaquant peut facilement obtenir les détails dont il a besoin pour effectuer une demande illégale. Les numéros d’identification peuvent également être visibles sur les sites Web spécialisés dans la vente de voitures, où les acheteurs font des recherches sur l’historique du véhicule.

En plus de divulguer des informations sur le véhicule cible, les attaquants peuvent aussi lancer des requêtes pour exécuter des commandes qui effectueront des actions spécifiques sur les voitures.

Barry a également noté que pour chaque marque de voiture fabriquée après 2015 et utilisant le modèle SiriusXM, elles pouvaient être déverrouillées, verrouillées, suivies, démarrées, arrêtées, klaxonnées ou allumées les feux à distance. Un attaquant pourrait exécuter toutes ces fonctions en accédant au NIV de la voiture.