Un accesso totale con pochi click
La vulnerabilità identificata da Zveare permetteva di creare un account amministratore con privilegi illimitati sul portale centralizzato della casa automobilistica. Il ricercatore, che ha preferito mantenere anonima l'identità del costruttore coinvolto (definendolo come un marchio "ampiamente conosciuto con diversi sub-brand popolari"), ha spiegato come il difetto fosse nascosto nel codice che si caricava nel browser degli utenti durante l'accesso alla pagina di login.
Una volta individuata la falla, che Zveare descrive come "difficile da trovare ma devastante nelle conseguenze", il ricercatore è riuscito a bypassare completamente il sistema di autenticazione. Questo gli ha garantito l'accesso a oltre 1.000 concessionarie distribuite negli Stati Uniti, con la possibilità di consultare dati finanziari, informazioni sui clienti e leads commerciali senza lasciare traccia della propria presenza nel sistema.
Quando l'automobile diventa trasparente
Tra le funzionalità più inquietanti scoperte nel portale, Zveare ha individuato uno strumento di ricerca nazionale che permetteva di identificare proprietari di veicoli utilizzando semplicemente il numero di telaio. Per dimostrare la gravità del problema, il ricercatore ha prelevato un VIN da un'automobile parcheggiata in un parcheggio pubblico, riuscendo a identificare immediatamente il proprietario del veicolo.
Ma le implicazioni diventano ancora più serie quando si considera la possibilità di associare qualsiasi veicolo a un account mobile controllato da un attaccante. Con il consenso di un amico, Zveare ha testato questa funzionalità, scoprendo che il sistema richiede soltanto una "attestazione" della legittimità dell'operazione - essenzialmente una promessa digitale senza verifiche sostanziali.
Il domino delle interconnessioni
La scoperta ha rivelato un ecosistema di sistemi interconnessi che amplifica enormemente l'impatto delle vulnerabilità. Attraverso il single sign-on, una volta ottenuto l'accesso al portale principale, Zveare poteva "saltare" da un sistema all'altro delle concessionarie collegate. Particolarmente preoccupante era la funzionalità di "impersonazione" degli utenti, che permetteva di accedere ad altri sistemi dealership fingendosi altri utenti legittimi.
Questa caratteristica, secondo il ricercatore, ricorda vulnerabilità simili scoperte nei portali Toyota nel 2023, suggerendo che si tratta di problematiche sistemiche nell'industria automobilistica. "Sono incubi della sicurezza informatica in attesa di materializzarsi", ha commentato Zveare riguardo a queste funzionalità di impersonazione.
Dati sensibili e controllo remoto
L'accesso non autorizzato al portale esponeva una vasta gamma di informazioni sensibili: dai dati personali identificativi dei clienti alle informazioni finanziarie, fino ai sistemi telematici che consentono il tracciamento in tempo reale della posizione di veicoli a noleggio, auto di cortesia e automobili in spedizione attraverso il paese. Il sistema permetteva persino di annullare spedizioni, anche se Zveare si è astenuto dal testare questa funzionalità.
Il ricercatore ha sottolineato come un attaccante malintenzionato avrebbe potuto utilizzare queste capacità per facilitare furti di veicoli o per accedere illegalmente agli interni delle automobili per sottrarre oggetti di valore. Sebbene non abbia testato la possibilità di guidare effettivamente i veicoli compromessi, le implicazioni per la sicurezza fisica degli utenti restano significative.
Una settimana per chiudere le falle
La casa automobilistica coinvolta ha reagito con relativa rapidità alla segnalazione di Zveare, risolvendo le vulnerabilità nel giro di una settimana dopo la comunicazione avvenuta a febbraio 2024. Il costruttore ha confermato di non aver trovato evidenze di sfruttamento precedente delle falle, suggerendo che il ricercatore sia stato il primo a individuarle.
La vicenda, che Zveare presenterà alla conferenza di sicurezza Def Con di Las Vegas, evidenzia come spesso siano vulnerabilità relativamente semplici nell'autenticazione a causare i danni più estesi. "Se sbagli l'autenticazione, tutto il resto crolla", ha concluso il ricercatore, sottolineando l'importanza cruciale di implementare controlli di sicurezza robusti nei sistemi che gestiscono dati così sensibili e funzionalità così critiche.