Хакер использует уязвимость Sirius XM для удаленной разблокировки автомобилей

В эпоху транспортных средств, подключенных к Интернету, недавно обнаруженные проблемы кибербезопасности меняют определение того, что значит «угнать» автомобиль.

В недавнем эксперименте Сэма Карри, штатного инженера по безопасности в Yuga Labs и самопровозглашенного хакера, его команда смогла использовать уязвимость в программном обеспечении Sirius XM, чтобы получить удаленный доступ к транспортным средствам, используя их общедоступные идентификационные номера транспортных средств (VIN). , сообщает The Verge(Открывается в новом окне).

Твитнуть(откроется в новом окне)

Зонтик SiriusXM Connected Services включает в себя информационно-развлекательные и телематические системы (открывается в новом окне), которые используются более чем 15 OEM-производителями, в том числе Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru и Toyota.

Приложения для транспортных средств, такие как MyHonda или Nissan Connect (открывается в новом окне), имеют интеграцию с Sirius XM. Поэтому для хакерского эксперимента Карри попросил у друга его учетную запись Nissan и вошел в систему. Это дало ему доступ к приложению Nissan для проверки его серверной части.

Ниссан Коннект
Приложение Nissan Connect (Источник: Nissan)

Карри заметил, что в системе безопасности есть лазейка для входа в систему. Для доступа к чьей-либо учетной записи не требовалось уникальное имя пользователя и пароль. Вместо этого Карри мог ввести только VIN-код, который публично размещен на лобовом стекле любого автомобиля.

Затем команда написала скрипт на Python, который использовал VIN для выполнения команд автомобиля, позволяя им удаленно запускать, разблокировать, определять местонахождение, мигать фарами и гудеть на автомобиле. Теоретически злоумышленник может скопировать VIN-код любой машины в своем районе, вставить его в сценарий и разблокировать автомобиль, чтобы украсть что-то внутри.

Выявился и другой риск: программа Карри получила доступ к личной информации клиента, такой как адрес, имя, номер телефона и широта/долгота автомобиля. Хакер может использовать эту информацию несколькими способами, в том числе регулярно отслеживать автомобиль, используя его широту и долготу, используя его известное местонахождение для планирования гнусных действий в доме владельца.

Рекомендовано нашими редакторами

Уязвим ли ваш автомобильный брелок для этой простой атаки воспроизведения?
Хакер-подросток получил удаленный доступ к 25 Tesla в 13 странах
Полиция Европы арестовала банду угонщиков автомобилей, которая пыталась взломать тысячи автомобилей

«На данный момент мы определили, что можно также получить доступ к информации о клиентах и выполнять команды транспортных средств на автомобилях Honda, Infiniti и Acura в дополнение к Nissan», — написал Карри в Твиттере. «Мы сообщили о проблеме SiriusXM, которая немедленно исправила ее и подтвердила свой патч».

«Ни разу не было скомпрометировано ни одного подписчика или других данных, а также не было изменено ни одной несанкционированной учетной записи с использованием этого метода», — сообщил The Verge представитель Sirius XM.

Безопасность
Дата публикации: 2022.12.06