Badania nad samojezdnymi samochodami ujawniły błąd Sirius XM, który powoduje ogromną lukę w zabezpieczeniach.
Według niedawno opublikowanych badań kilku znanych producentów samochodów, w tym Honda, Nissan, Infiniti i Acura, było narażonych na nieznaną wcześniej lukę w zabezpieczeniach, która mogła umożliwić sprytnemu hakerowi przejęcie pojazdów i kradzież danych klientów za pomocą błędu w satelitach radia Sirius XM.
Badacze twierdzą, że błąd w infrastrukturze telematycznej Sirius XM samochodu pozwoliłby hakerowi zdalnie zlokalizować pojazd, odblokować go i uruchomić, włączyć światła, włączyć klakson, otworzyć bagażnik i uzyskać dostęp do prywatnych informacji o klientach, takich jak dane właściciela. imię i nazwisko, numer telefonu, adres i specyfikację pojazdu.
Dlaczego błąd Sirius XM jest niebezpieczny?
Większość współczesnych samochodów to zasadniczo połączone z Internetem komputery na kołach, nawet jeśli nie masz Tesli. Samochody są bardziej poręczne i elastyczne niż kiedykolwiek dzięki napływowi i odpływowi danych pojazdu czy telematyce, ale są też bardziej podatne na ataki hakerskie i zdalne przejmowanie kontroli.
Wiadomo, że producenci samochodów sprzedają dane pojazdów dostawcom systemów nadzoru, którzy następnie robią dziwne rzeczy, na przykład sprzedają je agencjom rządowym, co sprawia, że sektor telematyczny stanowi ogromne zagrożenie dla prywatności.
Luka została wykryta przez zespół ekspertów ds. bezpieczeństwa, którzy badali problemy dotyczące znaczących producentów samochodów. Sam Curry, 22-letni specjalista ds. bezpieczeństwa cybernetycznego, który jest członkiem zespołu badawczego, powiedział, że on i jego koledzy byli zainteresowani rodzajami problemów, które pojawiłyby się, gdyby przyjrzeli się dostawcom tzw. ” dla producentów samochodów.
Wyjaśnienie błędu Sirius XM
Curry i jego współpracownicy znaleźli lukę w uwierzytelnianiu w infrastrukturze Sirius XM po przekopaniu się w kodzie połączonym z kilkoma aplikacjami motoryzacyjnymi. Systemy informacyjno-rozrywkowe w większości samochodów zawierają Sirius, który oferuje powiązane usługi telematyczne większości producentów samochodów.
Według Curry’ego, Sirius XM jest powszechną cechą pojazdów, a jeśli chodzi o wadę, stwierdził, że:
“, w pakiecie z systemem informacyjno-rozrywkowym, który ma możliwość wykonywania działań na pojeździe i komunikuje się przez satelitę z Internetem do API SiriusXM. To tak, jakbyś miał telefon komórkowy podłączony do pojazdu i mógł odbierać i wysyłać wiadomości tekstowe z samochodu, mówiąc mu, co ma zrobić, lub przekazując informacje o stanie samochodu nadawcy”.
„W tym przypadku zbudowali infrastrukturę wokół wysyłania/odbierania tych danych i umożliwili klientom uwierzytelnianie się za pomocą aplikacji mobilnej (niezależnie od tego, czy jest to aplikacja mobilna Nissan Connected, czy aplikacja MyHonda). Gdy klient zaloguje się na swoje konto i powiąże z nim numer VIN, będzie mógł uzyskać dostęp do tego potoku, w którym będzie mógł wydawać polecenia i odbierać dane (np. lokalizację, prędkość itp.) ze swojego pojazdu”.
– Sam Curry, specjalista ds. bezpieczeństwa cybernetycznego
Poszczególne pojazdy wysyłają i odbierają polecenia i dane do Syriusza, co oznacza, że w odpowiednich okolicznościach informacje mogą zostać przechwycone. Curry dodał, że cyberprzestępca mógł przejąć kontrolę nad pojazdem i danymi powiązanymi z kontem klienta, wykorzystując lukę w uwierzytelnianiu systemu Sirius XM.
Możesz sprawdzić więcej szczegółów i niebezpieczeństw związanych z błędem Sirius XM z tweeta Sama Curry’ego, który udostępnił na swoim @samwcyo rachunek.
Więcej włamań do samochodów!
Na początku tego roku byliśmy w stanie zdalnie odblokować, uruchomić, zlokalizować, sflashować i zatrąbić dowolny zdalnie podłączony pojazd Hondy, Nissana, Infiniti i Acura, całkowicie nieautoryzowany, znając tylko numer VIN samochodu.
Oto jak to znaleźliśmy i jak to działa: pic.twitter.com/ul3A4sT47k
— Sam Curry (@samwcyo) 30 listopada 2022 r
Kiedy skontaktowano się z Sirius XM w celu uzyskania komentarza, rozpoznali problem i udzielili następującej odpowiedzi:
„Badacz ds. bezpieczeństwa przesłał a [bug bounty] zgłosić do usługi Connected Vehicle Services firmy Sirius XM błąd w autoryzacji mający wpływ na określony program telematyczny. Problem został rozwiązany w ciągu 24 godzin od przesłania zgłoszenia. W żadnym momencie żaden abonent ani inne dane nie zostały naruszone, ani żadne nieautoryzowane konto nie zostało zmodyfikowane przy użyciu tej metody”.
-Sirius XM
To obejmuje wszystko, co dotyczy luki w zabezpieczeniach Sirius XM. Aby sprawdzić, czy Twój samochód ma Sirius XM, możesz sprawdzić oficjalna strona firmy.
Interesujesz się cyberbezpieczeństwem? Sprawdź nasze inne artykuły zatytułowane, takie jak Chmura w ataku: Naruszenie danych GoTo ostatecznie wpłynęło na wyzwanie LastPass lub TikTok Invisible body wykorzystywane przez hakerów stąd.