Wadliwy kod ładował się po stronie przeglądarki już na stronie logowania. To pozwoliło badaczowi zmienić zachowanie aplikacji i całkowicie pominąć mechanizm weryfikacji, a następnie stworzyć uprzywilejowane konto „national admin”. Innymi słowy – dwie błędne walidacje API w autoryzacji wyważyły drzwi do całego systemu.
Skala dostępu: ponad tysiąc salonów
Po zalogowaniu Zveare zyskał wgląd w dane przeszło tysiąca dealerów w USA, w tym informacje finansowe i leady sprzedażowe – bez śladu w logach użytkowników. Jednym z narzędzi dostępnych w portalu była krajowa wyszukiwarka konsumencka, która po samym numerze VIN z szyby albo po imieniu i nazwisku pozwalała zidentyfikować właściciela i samochód. W realnym teście badacz sięgnął po zgodę znajomego: przejął przypisanie auta w systemie tak, jakby to była rutynowa operacja dealerska.
„Pinky promise” zamiast twardej weryfikacji
Najbardziej niepokojące? Procedura zmiany właściciela w aplikacji mobilnej wymagała de facto tylko… oświadczenia, że działasz w dobrej wierze. Bez dodatkowej, twardej weryfikacji. To znaczy, że znając imię i nazwisko lub VIN, ktoś mógłby przynajmniej teoretycznie przepiąć samochód do własnego konta i otwierać go zdalnie. Zveare podkreśla, że nie próbował odjechać autem; chodziło o pokazanie słabości procesu i możliwych nadużyć (np. włamania do wnętrza).
Domino po SSO: „podszywanie się” pod użytkowników i śledzenie flot
Portal dealerski był bramką do innych systemów – pojedyncze logowanie (SSO) umożliwiało przeskakiwanie między aplikacjami i nawet techniczne „podszywanie się” pod innych użytkowników, co Zveare nazywa „koszmarem bezpieczeństwa”. W praktyce otwierało to dostęp do identyfikowalnych danych klientów, telematyki z podglądem lokalizacji aut zastępczych czy flot przewozowych, a nawet do opcji anulowania transportów pojazdów.
Według Zveare’a producent naprawił problem w ciągu około tygodnia, po zgłoszeniu. Badacz podsumowuje sprawę do bólu prosto: „Wystarczyły dwie proste luki w API i jak zwykle całość sprowadzała się do autoryzacji”. Jeśli zawiedzie brama, cała reszta nie ma znaczenia.
Czy to dotyczy Polski? Tak – bo problem jest systemowy
Choć opisany incydent dotyczył amerykańskiej sieci dealerskiej i anonimowego producenta, powód do czujności mamy również tu. W ostatnich miesiącach dziennikarze i badacze ujawniali podobne w duchu błędy w internetowych narzędziach producentów, np. przypadek Subaru (przejmowanie funkcji i historyczne śledzenie lokalizacji) albo wcześniejsze podatności w portalach innych marek, umożliwiające śledzenie czy zdalne akcje na autach. To nie jedna „wpadka”, lecz wzorzec: zaniedbane bezpieczeństwo warstwy webowej wokół aut połączonych.
Co może zrobić właściciel auta, aby się zabezpieczyć?
Po pierwsze, traktuj konto do aplikacji producenta jak do banku: unikatowe hasło + włączone 2FA. Po drugie, ogranicz uprawnienia kont współdzielonych w rodzinie i usuwaj te nieużywane. Po trzecie, nie publikuj w sieci zdjęć VIN ani ekranów z aplikacji. Po czwarte, jeśli auto ma funkcje zdalne, sprawdź regularnie historię dostępu i urządzeń (w wielu aplikacjach jest to ukryte w ustawieniach). Po piąte, aktualizuj oprogramowanie aplikacji i samochodu, łatki bezpieczeństwa naprawdę się liczą. Te kroki nie „naprawią” błędów producenta, ale zmniejszą ryzyko nadużyć po stronie użytkownika.
To zderzenie dwóch światów: motoryzacja przyspiesza cyfryzację, a tymczasem narzędzia okołodealerskie i backoffice bywają budowane jak „typowe” aplikacje biznesowe z wszystkimi ich grzechami młodości. Jeśli gdzieś powinniśmy być konserwatywni, to właśnie w autoryzacji, logowaniu i śledzeniu uprawnień. Ta historia jest przestrogą nie tylko dla producentów, ale i dla firm flotowych, wypożyczalni oraz dealerów, bo to oni często odpowiadają za konfigurację i procesy, które albo domkną, albo otworzą furtkę.