Ещё одна уязвимость выявлена в информационной системе автомобилей Subaru, предоставляющей доступ к сервису удалённого доступа Starlink, позволяющему со смартфона контролировать состояние подсистем автомобиля. Изучив особенности установки канала связи между мобильным приложением Starlink и серверами Subaru исследователи выявили 8 уязвимостей, при помощи которых имеется возможность добавить дополнительных пользователей в учётную запись в сервисе Starlink.
Проблема заключается в том, что применяемый для аутентификации сеансовый ключ не защищён и может быть подделан или перехвачен (в том числе передаётся в открытом виде как параметр URL). При помощи перехваченного токена атакующий может выполнить действия от имени владельца автомобиля, в том числе управлять замками дверей, просмотреть лог с историей использования автомобилем и получить данные о местоположении.
Новость на русском http://www.opennet.ru/opennews/art.shtml?num=46690
А тут первоисточник на аглицком: http://www.databreachtoday.com/exclusiv ... rus-a-9970
понятно, что атака должна быть определенным образом подготовлена, но результаты забавны
Ссылки на новость предоставлены нашим клубнем @CSJ
