API on Wheels: Ein Roadtrip voller riskanter Sicherheitslücken

Wann hast du das letzte Mal einen Roadtrip gemacht? Je nachdem, wo auf der Welt Sie sich gerade befinden, ist es vielleicht erst eine kürzliche Rückkehr zur Tagesordnung, aber in Wirklichkeit ist nichts besser als die offene Straße und ein Tapetenwechsel.
Es sei denn, Sie sind eine Software-Schwachstelle, natürlich.
Wir haben ausführlich über die Gefahren gesprochen, die von laxen Cybersicherheitsmaßnahmen in der Automobilindustrie ausgehen, mit Unternehmen wie Tesla und Jeep arbeitet bereits mit Sicherheitsforschern zusammen und findet ausnutzbare Fehler, die zu schwerwiegenden Sicherheitsproblemen hätten führen können, wenn sie nicht frühzeitig entdeckt und umgehend behoben würden. Wir haben auch darüber gesprochen, wie Softwaresicherheit im Allgemeinen ist noch im Wilden Westen. Software ist überall, wo wir hinschauen, und für viele vernetzte Geräte, Fahrzeuge und deren Peripheriegeräte gehen die erforderlichen Sicherheitsmaßnahmen weit über die Schulung und Überwachung der Endbenutzer hinaus.
API-Sicherheitslücken werden besonders heimtückisch, mit bösartiger API-Traffic wächst um mehr als 300% allein in den letzten sechs Monaten. Dies ist ziemlich besorgniserregend, wenn man bedenkt, dass moderne Fahrzeuge im Wesentlichen APIs auf Rädern sind. Sie sind vernetzt, unterhalten sich sehr gut mit anderen Anwendungen und könnten als einer von vielen anfälligen Endpunkten in gezielte Angriffe verwickelt werden.
Wenn Ihr EV-Ladegerät zu viel sagt
Vernetzte Fahrzeuge wurden hinsichtlich ihrer Softwaresicherheit unter die Lupe genommen, aber was ist mit ihrem Zubehör? Die geniale Crew von Pen Test Partners hat mehrere Sicherheitslücken auf Codeebene aufgedeckt in sechs Marken, die Elektrofahrzeuge zu Hause aufladen, sowie in einem weit verbreiteten öffentlichen Ladenetz für Elektrofahrzeuge.
Wen interessiert ein Ladegerät? Was könnte ein Angreifer gewinnen? Leider ist einer der Nachteile leistungsstarker Deep-Tech-Experten, die Überstunden machen, für uns, dass diese Geräte im Allgemeinen einen schlechten TMI-Fall haben. Ladegeräte für Elektrofahrzeuge kommunizieren über eine API in einer Cloud-basierten Umgebung mit den zugehörigen mobilen Apps. All dies kann anfällig für Ausnutzung sein, wenn es nicht sicher codiert und konfiguriert wird. APIs öffnen von Natur aus die Schleusen für die Kommunikation zwischen Apps, und wenn diese Endpunkte nicht sorgfältig konfiguriert sind, könnten zu viele Geräte gemeinsam genutzt werden — oder schlimmer noch — über eine anfällige App-Backdoor abgerufen werden.
Pen Test Partners entdeckte extrem gefährliche Sicherheitslücken, die dazu geführt haben könnten, dass Millionen von Ladegeräten für Elektrofahrzeuge entführt wurden. Außerdem gab es mehrere Fälle von API-Autorisierungsproblemen, die eine Kontoübernahme und die Fernsteuerung/den Zugriff auf ein Konto ermöglichten, und sogar die Möglichkeit, das Stromnetz durch die synchronisierte Steuerung mehrerer EV-Geräte zu unterbrechen. Diese Probleme wurden alle gepatcht, aber die Tatsache, dass nur wenige Codezeilen zwischen den Angreifern und der vollständigen Störung der Kernfunktionen und der Serviceinfrastruktur standen, ist äußerst besorgniserregend.
Es ist auch nicht so, als wäre es Mastermind-Zeug. Wallbox hatte zum Beispiel zwei unsichere direkte Objektreferenzen (IDOR) in ihrer API, die eine Kontoübernahme ermöglicht hätten, wenn sie ausgenutzt worden wäre. IDOR fällt unter die fehlerhafte Authentifizierung, die auf Platz zwei der Die 10 wichtigsten API-Schwachstellen von OWASP. Es ist so häufig wie Dreck, was auf ein Versagen beim Erlernen und Implementieren von Qualitätscodes hindeutet. Wir können nicht darauf bestehen, sensible Geräte und Apps über eine Vielzahl fehlerhafter Kommunikationswege miteinander zu verbinden, und schlecht konfigurierte APIs sind genau das.
Die sichere Arbeit mit APIs für die Automobilindustrie erfordert Bildung und Geduld
Das Frustrierende an der API-Sicherheit ist, dass sie als eine neue Welle von Cybersicherheitskatastrophen angepriesen wird, die es zu mildern gilt, obwohl es sich in Wirklichkeit nur um eine neue Umgebung für dieselben alten Probleme handelt, die wir seit Jahrzehnten in der Webentwicklung beobachten. Site-übergreifendes Scripting, Injektion, Fehlkonfiguration: Kommt Ihnen das bekannt vor?
Aktuelle Indikatoren von Organisationen wie NIST sind vielversprechend und zeigen, dass Softwaresicherheit zunehmend reguliert und standardisiert wird. Wir sind jedoch immer noch weit hinter den Experten zurück, die erforderlich sind, um den Umfang der Schutzmaßnahmen, die gegen die Flut von Code, die täglich geschrieben wird, auch nur einen Strich durch die Rechnung zu machen. Entwickler müssen ihre Sicherheitskenntnisse und Verantwortlichkeiten erweitern, und es liegt nicht an ihnen, die Initiative zu ergreifen. Wenn Sie ein Team haben, das an eingebetteten Systemen in Geräten oder APIs arbeitet, die ein Auto in ein ferngesteuertes Spielzeug von jemandem verwandeln könnten, müssen Sie sicherstellen, dass sie mit allem ausgestattet sind, was sie benötigen, um die Einführung häufiger Sicherheitslücken zu verhindern.
Die Unterschiede zwischen einer sicheren API und einer durch XSS anfälligen API sind beispielsweise minimal, aber Entwicklern müssen die Nuancen aufgezeigt werden, die ein schlechtes Codierungsmuster von einem guten unterscheiden. Darüber hinaus laufen faule Entwicklungsprozesse in API-Konfigurationen häufig wie gewohnt ab. Viele Benutzer erhalten umfangreiche Berechtigungen, die über die Mindestanforderungen für die Ausführung ihrer Aufgaben hinausgehen, was eine zusätzliche Bedrohungsfläche und potenziellen Datendiebstahl eröffnet. Diese Faktoren müssen bei der Entwicklung berücksichtigt werden, aber wenn sie nicht in akzeptablen Entwicklungspraktiken verankert sind, wird der Prozess auch weiterhin ein Risikofaktor sein.
Dem neuen Spielplatz der Bedrohungsakteure aus dem Weg gehen
Der dramatische Anstieg von APIs als Ziel von Bedrohungsakteuren zeigt, dass sich die Aufmerksamkeit auf eine vermeintlich niedrighängende Frucht verlagert... und in diesem Fall könnte es sich um eine Pipeline handeln, die zu erheblichem Lohnschmutz führen könnte, zusätzlich zu potenziellen Lebensbedrohungen in Form einer potenziellen Übernahme von Fahrzeugen.
Die API-Sicherheit dem Zufall zu überlassen, ist eine todsichere Methode, um später Probleme zu verursachen, die schlimmstenfalls verheerende Folgen haben und bestenfalls frustrierende Nacharbeiten und schlechte Leistung haben. Dies sollte als Teil des Kommunikationsökosystems von Software eine wichtige Überlegung sein und ganz oben auf der Liste der besten Sicherheitsprogramme stehen. Der Schlüssel dazu besteht darin, jede API so zu behandeln, als wäre sie ein Mensch, und zu beurteilen, welchen Zugriff sie haben sollte. Sollte Jim von Accounting Zugriff auf alle sensiblen Rechtsdokumente für das gesamte Unternehmen haben? Wahrscheinlich nicht, und im Allgemeinen wird die Zugriffskontrolle bei echtem Personal korrekt festgelegt. Das Gleiche gilt nicht für APIs, und es ist wichtig, sich daran zu erinnern, dass es sich um leistungsstarke Chatterboxen handelt, die jeden über Ihre Geheimnisse informieren, wenn sie nicht mit den gleichen Zero-Trust-Methoden für alles andere konfiguriert sind.
Die Organisation muss in höchster Alarmbereitschaft sein, und Entwickler sind die Augen, die vor Ort benötigt werden, um Qualitätscode zu erstellen, der frei von diesen anfälligen Portalen zur Verzweiflung ist. Es ist an der Zeit, ihnen die Möglichkeit zu geben, sich als sicherheitsbewusste Ingenieure weiterzuentwickeln und erfolgreich zu sein. Sie verfügen über die richtige Denkweise für dieses Ziel und die praktischen Fähigkeiten, um in kritischen Phasen der Entwicklung die richtigen Entscheidungen zu treffen.
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
%252520(1).avif)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

