Onderzoekers gebruikten een kwetsbaarheid in de software van Hyundai en Genesis om een auto te openen en starten.

De kwetsbaarheid werd gevonden door Yuga Labs. Hyundai Motor Group, het moederbedrijf van Hyundai en Genesis, is op de hoogte van het probleem. De kwetsbaarheid is inmiddels opgelost.

Het probleem werd veroorzaakt door securitygaten in de mobiele apps van Hyundai en Genesis. De kwetsbaarheid maakte het mogelijk om auto’s met een bouwjaar na 2012 te openen en starten. De apps horen alleen toegang te geven tot de eigenaar van een auto, maar de onderzoekers van Yuga Labs kwamen zonder verificatie binnen.

Het securityteam testte de kwetsbaarheid niet in de praktijk. Yuga Labs gebruikte een testauto voor onderzoeksdoeleinden. Hyundai geeft aan dat de kwetsbaarheid nooit eerder is misbruikt. “Ons onderzoek wijst dat er geen toegang is verkregen tot voertuigen of accounts van klanten als gevolg van de problemen die aan de orde zijn gesteld”, deelde de organisatie in een schriftelijke verklaring met Techzine.

Exploit

Op het moment van schrijven hebben de onderzoekers nog geen gedetailleerd rapport gepubliceerd. Wel deelde het team een algemene beschrijving op Twitter.

De onderzoekers begonnen met een analyse van het netwerkverkeer van MyHyundai. Daaruit bleek dat de app het e-mailadres van een auto-eigenaar gebruikt om de eigenaar te verifiëren.

Vervolgens ontdekten de onderzoekers dat het mogelijk is om een gebruikersaccount voor MyHyundai aan te maken met het e-mailadres van een bestaande gebruiker. De onderzoekers maakten een nieuwe account aan met hetzelfde e-mailadres als de eigenaar van de testauto.

Tot slot analyseerden de onderzoekers het netwerkverkeer van de app om te achterhalen hoe MyHyundai inlogverzoeken ontvangt en verwerkt. De onderzoekers imiteerden de dataformats van het inlogproces en verzonden een HTTP request met het e-mailadres van de nieuwe account. De app accepteerde het request. Uiteindelijk wisten de onderzoekers de deur van de testauto te openen.

Reactie

Hyundai merkte op dat een potentiële aanvaller aan meerdere voorwaarden moet voldoen om de exploit uit te voeren. “Het e-mailadres van de account en het voertuig moeten bekend zijn, evenals het webscript van de onderzoekers”, vertelde de organisatie. “Desalniettemin hebben we binnen enkele dagen na de melding maatregelen genomen om de veiligheid van onze systemen te verbeteren.”

Tip: Databescherming wordt steeds meer workload-specifiek (en software-defined)