Исследователи из Vulnerability Labs обнаружили уязвимость в web-сервисах компании BMW. Найденные ошибки можно использовать для изменения настроек автомобилей.
Первая уязвимость была обнаружена на официальном сервисе немецкого производителя BMW ConnectedDrive. Суть уязвимости заключается в возможности подмены идентификационного номера пользователя. Злоумышленник может во время работы с порталом подменить свой VIN-номер (VIN – Vehicle Identification Number) на номер жертвы. После этого для него становятся доступны установка в компьютерную систему автомобиля различных приложений, чтение почты, передача информации о дороге, управление освещением, температурой и сигнализацией авто.
Второй обнаруженный баг — межсайтовый скриптинг при восстановлении пароля на официальном онлайн-сервисе BMW.
Информация о найденных уязвимостях была предоставлена немецкому производителю еще в феврале 2016, а ответ о его получении был получен спустя два месяца. Однако так и не дождавшись информации об исправлении ошибок, Vulnerability Labs приняли решение обнародовать результаты исследования.