Хакер использует недостаток Sirius XM для удаленной разблокировки и звукового сигнала на автомобилях

В эпоху подключенных к Интернету транспортных средств недавно обнаруженные проблемы кибербезопасности меняют определение того, что значит «украсть» автомобиль.

В недавнем эксперименте Сэма Карри, штатного инженера по безопасности Yuga Labs и самопровозглашенного хакера, его команда смогла воспользоваться уязвимостью в программном обеспечении Sirius XM, чтобы получить удаленный доступ к транспортным средствам, используя их общедоступные идентификационные номера транспортных средств (VIN). , сообщает The Verge (Открывается в новом окне).

В состав SiriusXM Connected Services входят информационно-развлекательные и телематические системы (Открывается в новом окне), которые используются более чем 15 OEM-производителями, в том числеAcura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru и Toyota.

Автомобильные приложения, такие как MyHonda или Nissan Connect (Открывается в новом окне), интегрируются с Sirius XM. Итак, для хакерского эксперимента Карри попросил у друга его учетную запись Nissan и вошел в систему. Это дало ему доступ к приложению Nissan для проверки его серверной части.

Карри заметил, что в системе безопасности есть лазейка для входа в систему. Для доступа к чьей-либо учетной записи не требовалось уникальное имя пользователя и пароль. Вместо этого Карри мог бы ввести только VIN-код, который публично указан на лобовом стекле любого автомобиля.

Затем команда написала скрипт на Python, который использовал VIN для выполнения команд автомобиля, позволяя им удаленно запускать, разблокировать, определять местонахождение, мигать фарами и подавать звуковой сигнал на автомобиле. Теоретически злоумышленник может скопировать VIN-код любой машины в своем районе, подключить его к сценарию и разблокировать машину, чтобы украсть что-нибудь внутри.

Всплыл и другой риск: программа Карри получила доступ к частной информации о клиенте, такой как адрес, имя, номер телефона и широта/долгота автомобиля. Хакер может использовать эту информацию разными способами, включая регулярное отслеживание автомобиля по его широте и долготе, а также использование его известного местонахождения для планирования гнусной деятельности в доме владельца.

«На этом этапе мы обнаружили, что, помимо Nissan, можно также получить доступ к информации о клиентах и ​​управлять транспортными средствами на автомобилях Honda, Infiniti и Acura», — написал Карри в Твиттере. «Мы сообщили о проблеме SiriusXM, который немедленно ее исправил и подтвердил свой патч».

«Ни при каких обстоятельствах ни один подписчик или другие данные не были скомпрометированы, а также не было несанкционированного изменения учетной записи с помощью этого метода», — сообщил The Verge представитель Sirius XM.

Зарегистрируйтесь в SecurityWatchинформационный бюллетень с нашими главными историями о конфиденциальности и безопасности, доставленный прямо на ваш почтовый ящик.

Этот информационный бюллетень может содержать рекламу, предложения или партнерские ссылки. Подписка на новостную рассылку означает ваше согласие с нашими Условиями использования и Политикой конфиденциальности. Вы можете отказаться от подписки на информационные бюллетени в любое время.

Ваша подписка подтверждена. Следите за своим почтовым ящиком!