Хакеры научились взламывать BMW через официальный сайт производителя
Исследователи нашли несколько уязвимостей на веб-странице немецкого производителя автомобилей.
По словам экспертов из компании Vulnerability Labs, им удалось обнаружить сразу две бреши в системе безопасности на официальном сайте BMW, а также на интернет-портале Connected Drive, сообщает ZDNet.
Последний используется для установки различных приложений, в том числе email-клиента или программы для управления профилем водителя. Чтобы авторизироваться на портале, пользователям нужно ввести VIN-номер своего автомобиля. Однако, подменив свой идентификационный номер на чужой, авторизированный пользователь сможет получить контроль над активной сессией своей жертвы.
Ещё одну уязвимость — межсайтовый скриптинг — специалисты обнаружили на официальной странице производителя. По словам экспертов, она скрывается в системе восстановления пароля. С её помощью злоумышленники могут получить секретный код другого пользователя без особых усилий.
Исследователи поведали об уязвимостях представителям BMW ещё в феврале, однако немецкий производитель ответил лишь в апреле. Причём разработчики не предоставили никакой информации о том, были ли эти вопросы безопасности улажены.
life.ru
Комментарии ()