- 9,151
- 18
- 8 Ноя 2022
Уязвимость затрагивает все автомобили Hyundai и Genesis, выпущенные за последние 10 лет.
Обнаруженная уязвимость затрагивает мобильные приложения Hyundai и ее люксового бренда Genesis, которые владельцы используют для отслеживания состояния своих автомобилей, планирования ТО, разблокировки дверей и запуска двигателя. По словам Сэма Карри, хакера и багхантера, обнаружившего уязвимость, мобильные приложения для автомобилей Hyundai и Genesis предоставляют функционал только авторизованным пользователям. Однако Сэм и его команда обнаружили, что сервер не требует от пользователей подтверждения адреса электронной почты. Кроме того, Для просмотра ссылки Войди
Новой учетной записи выдавался веб-маркер JSON (JWT), который совпадает с настоящим электронным адресом, тем самым позволяя хакеру получить доступ к аккаунту жертвы в приложении, а затем и к автомобилю.
Чтобы проверить эксплойт, исследователи провели эксперимент на одном из своих автомобилей. И все сработало – команде Сэма удалось разблокировать автомобиль, используя новый аккаунт, привязанный к модифицированному адресу электронной жертвы.
Исследователи даже написали скрипт на Python, который позволяет взять под контроль автомобиль, требуя от потенциального автоугонщика только адрес электронной почты жертвы.
Но есть и хорошие новости. Исследователи сообщили об уязвимости Hyundai, и, по словам Карри, она была устранена.
- Источник новости
- https://www.securitylab.ru/news/535059.php
