Специалисты компании Vulnerability Labs проанализировали официальный сайт немецкой автомобильной компании BMW и интернет-портал Connected Drive. В результате исследования специалистам удалось обнаружить ряд уязвимых мест в системе.
Сообщается, что первая ошибка была обнаружена на портале Connected Drive. По словам экспертов, во время авторизации на портале система предлагает пользователю ввести так называемый VIN-номер, который закреплен за его автомобилем. В случае, если пользователь укажет номер чужого автомобиля, он беспрепятственно получает возможность контролировать активную сессию своей "жертвы".
Вторая ошибка была обнаружена на официальной странице пользователя. Так, при восстановлении пароля эксперты выявили происходящую хакерскую атаку — межсайтовый скриптинг. Этот весомый недочет позволяет злоумышленникам получить доступ к секретному коду клиента.
Примечательно, что эксперты направили результаты своих исследований в компанию BMW еще в феврале текущего года. Немецкая компания удосужилась ответить лишь спустя два месяца, не предоставив никакой информации об устраненных недостатках.