Dość dziwna wada w kodzie SiriusXM może odblokować twój inteligentny pojazd

Dość dziwna wada w kodzie SiriusXM może odblokować twój inteligentny pojazd

Błąd w kodzie, który umożliwiał przestępcom kradzież samochodów przez Internet, został podobno naprawiony, a właściciele zostali wezwani do natychmiastowej aktualizacji swoich systemów.

Luka została znaleziona w Connected Vehicle Services, pakiecie oprogramowania, który oferuje wiele funkcji, takich jak automatyczne powiadomienia o wypadkach, ulepszona pomoc drogowa, zdalne odblokowywanie drzwi, zdalne uruchamianie, odzyskiwanie skradzionego pojazdu, szczegółowa nawigacja i integracja inteligentnego domu . urządzenia.

Usługi pojazdów połączonych są budowane przez SiriusXM i są używane przez wielu producentów samochodów, w tym Hondę, Nissana, Infiniti i Acura, z których wszyscy byli podatni na ataki.

VIN do autoryzacji

Luka została opublikowana przez badacza bezpieczeństwa Yuga Labs, Sama Curry'ego, który jest przyzwyczajony do znajdowania luk w zabezpieczeniach samochodów. W wątku na Twitterze (otwiera się w nowej karcie) Curry wyjaśnił, jak działa usterka, dodając, że SiriusXM już ją załatał.

Problem najwyraźniej został spowodowany przez platformę telematyczną, która wykorzystywała numer identyfikacyjny pojazdu (VIN), często znajdujący się na przedniej szybie, do autoryzacji poleceń i wprowadzania profili użytkowników.

Oznacza to, że każdy, kto zna numer VIN, może zdalnie wydać szereg poleceń, od otwarcia drzwi po uruchomienie silnika.

W odpowiedzi na ustalenia The Register rzecznik firmy powiedział, że SiriusXM został ostrzeżony przez program łowów nagród.

„Poważnie podchodzimy do bezpieczeństwa kont naszych klientów i uczestniczymy w programie nagród za błędy, aby pomóc zidentyfikować i naprawić potencjalne luki w zabezpieczeniach naszych platform” – czytamy w oświadczeniu.

„W ramach tych prac badacz bezpieczeństwa przedstawił raport firmie Sirius XM Connected Vehicle Services dotyczący naruszenia uprawnień wpływającego na konkretny program telematyczny. Problem został rozwiązany w ciągu 24 godzin od przesłania zgłoszenia. „W żadnym momencie żaden abonent ani inne dane nie zostały naruszone, a przy użyciu tej metody nie modyfikowano żadnych nieautoryzowanych kont”.

Przez: Rejestr (otwiera się w nowej karcie)