Bezpečnostný výskumník Eaton Zveare odhalil závažné zraniteľnosti v online portáli predajcov jednej z popredných svetových automobiliek. Podľa jeho zistení mohli tieto chyby vystaviť osobné a finančné údaje zákazníkov riziku a potenciálne umožniť útočníkom na diaľku prevziať kontrolu nad funkciami ich vozidiel.
Zveare, ktorý pracuje pre spoločnosť Harness zameranú na softvérové riešenia, objavil spôsob, ako vytvoriť administrátorský účet s neobmedzeným prístupom do centrálneho systému automobilky. Prostredníctvom takéhoto účtu by útočník získal plný prístup k databázam predajcov, informáciám o klientoch, histórii servisov, ale aj k telematickým funkciám vozidiel.
Hoci Zveare odmietol prezradiť názov automobilky, potvrdil, že ide o medzinárodne známu značku so širokým portfóliom modelov a dcérskych značiek.
Ako sa chyba našla
Na slabinu narazil začiatkom roka 2025 počas osobného víkendového projektu. Po zložitejšom skúmaní prihlasovacieho systému sa mu podarilo úplne obísť autentifikáciu a vytvoriť si účet „národného administrátora“. Problém spočíval v chybnom kóde načítanom priamo v prehliadači používateľa, čo umožňovalo úpravu a obídenie bezpečnostných kontrol.
Automobilka podľa jeho slov nenašla žiadne dôkazy o predchádzajúcom zneužití, čo naznačuje, že Zveare bol prvý, kto na chybu prišiel a oficiálne ju nahlásil.
Rozsah prístupu
Takýto účet umožňoval prístup k údajom viac než 1 000 predajcov po celých USA. V portáli sa nachádzal aj nástroj, ktorý umožňoval vyhľadávať údaje o vozidle a vodičovi podľa VIN čísla či mena zákazníka. Zveare demonštroval, že stačilo odfotografovať VIN číslo auta zaparkovaného na verejnom parkovisku a okamžite bolo možné zistiť, komu patrí.
Okrem toho bolo možné spárovať vozidlo s mobilným účtom, čím sa aktivovali funkcie ako odomykanie či spúšťanie motora na diaľku. V rámci testu, a so súhlasom majiteľa, si takto „prevzal“ kontrolu nad vozidlom priateľa. Proces vyžadoval len minimálne potvrdenie – bez reálnej overovacej ochrany.
Potenciálne zneužitie
Podľa Zveareho by sa podobná chyba dala využiť aj na krádeže – napríklad na odomykanie áut a kradnutie predmetov z interiéru.
Riziko ešte zvyšovala skutočnosť, že portál bol prepojený s ďalšími systémami automobilky prostredníctvom jednotného prihlásenia (SSO). Administrátori tak mohli „vydávať sa“ za iných používateľov a pristupovať k ich účtom bez poznania prihlasovacích údajov.
Oprava zraniteľnosti
Po nahlásení automobilka reagovala rýchlo a chyby opravila približne do jedného týždňa vo februári 2025. Zveare dodal, že celú bezpečnostnú dieru spôsobovali len dve jednoduché API zraniteľnosti, ktoré sa týkali overovania. „Ak sa tieto chyby nezaplátajú, celý systém sa zrúti,“ uzavrel.
