Исследования беспилотных автомобилей обнаружили ошибку Sirius XM, которая приводит к серьезной бреши в системе безопасности.
Согласно недавно опубликованному исследованию, несколько известных автопроизводителей, в том числе Honda, Nissan, Infiniti и Acura, были уязвимы для ранее неизвестной уязвимости в системе безопасности, которая могла позволить сообразительному хакеру завладеть транспортными средствами и украсть данные о клиентах, используя ошибку в спутнике. Радио Сириус ХМ.
Исследователи утверждают, что ошибка в телематической инфраструктуре автомобиля Sirius XM позволила бы хакеру удаленно определить местонахождение автомобиля, разблокировать и запустить его, включить фары, посигналить, открыть багажник и получить доступ к частной информации о клиентах, такой как информация о владельце. имя, номер телефона, адрес и характеристики автомобиля.
Чем опасен жучок Sirius XM?
Большинство современных автомобилей — это компьютеры на колесах, подключенные к Интернету, даже если у вас нет Tesla. Автомобили более удобны и адаптируемы, чем когда-либо, благодаря притоку и оттоку данных о транспортном средстве или телематике, но они также более подвержены хакерским атакам и удаленному угону.
Известно, что производители автомобилей продают данные о транспортных средствах поставщикам систем видеонаблюдения, которые затем делают странные вещи, например, продают их государственным учреждениям, что делает сектор телематики огромным риском для конфиденциальности.
Уязвимость была обнаружена группой экспертов по безопасности, которые занимались проблемами, связанными с крупными автопроизводителями. Сэм Карри, 22-летний специалист по кибербезопасности, который является членом исследовательской группы, сказал, что его и его приятелей интересовали виды проблем, которые возникнут, если они изучат поставщиков так называемых «телематических услуг». “для автопроизводителей.
Объяснение ошибки Sirius XM
Карри и его коллеги обнаружили брешь в аутентификации в инфраструктуре Sirius XM после того, как покопались в коде, связанном с несколькими автомобильными приложениями. Информационно-развлекательные системы в большинстве автомобилей содержат Sirius, который предлагает соответствующие телематические услуги большинству автопроизводителей.
По словам Карри, Sirius XM является обычным явлением в транспортных средствах, а о недостатке он заявил следующее:
«в комплекте с информационно-развлекательной системой, которая может выполнять действия на транспортном средстве и обмениваться данными через спутник с Интернетом через API SiriusXM. Это как если бы у вас был сотовый телефон, подключенный к вашему автомобилю, и вы могли бы получать и отправлять текстовые сообщения из автомобиля, говорящие ему, что делать, или делящиеся состоянием автомобиля с отправителем».
«В данном случае они построили инфраструктуру для отправки/получения этих данных и позволили клиентам аутентифицироваться с помощью той или иной формы мобильного приложения (будь то мобильное приложение Nissan Connected или приложение MyHonda). После того, как клиент вошел в свою учетную запись, и с его учетной записью был связан его номер VIN, он мог получить доступ к этому конвейеру, где он может запускать команды и получать данные (например, местоположение, скорость и т. д.) от своего автомобиля».
– Сэм Карри, специалист по кибербезопасности
Отдельные транспортные средства отправляют и получают команды и данные на Сириус, а это означает, что при определенных обстоятельствах информация может быть перехвачена. Карри добавил, что киберпреступник мог получить контроль над автомобилем и данными, связанными с учетной записью клиента, воспользовавшись слабостью аутентификации системы Sirius XM.
Вы можете ознакомиться с более подробной информацией и опасностями, связанными с ошибкой Sirius XM, из твита Сэма Карри, которым он поделился на своем @samwcyo учетная запись.
Больше взлома автомобилей!
Ранее в этом году мы смогли удаленно разблокировать, запустить, определить местонахождение, прошить и посигналить любые удаленно подключенные автомобили Honda, Nissan, Infiniti и Acura, совершенно неавторизованно, зная только VIN-номер автомобиля.
Вот как мы это нашли и как это работает: pic.twitter.com/ul3A4sT47k
— Сэм Карри (@samwcyo) 30 ноября 2022 г.
Когда с Sirius XM связались для комментариев, они признали проблему и дали следующий ответ:
«Исследователь по безопасности представил [bug bounty] сообщить в Службу подключенных транспортных средств Sirius XM об ошибке авторизации, влияющей на конкретную программу телематики. Проблема была решена в течение 24 часов после отправки отчета. Ни один абонент или другие данные не были скомпрометированы, а также не были изменены какие-либо несанкционированные учетные записи с использованием этого метода».
-Сириус ХМ
Это покрывает все недостатки безопасности Sirius XM. Чтобы проверить, есть ли в вашем автомобиле Sirius XM, вы можете проверить официальный сайт компании.
Вас интересует кибербезопасность? Ознакомьтесь с другими нашими статьями под названием «Облако под атакой: нарушение данных GoTo в конечном итоге затронуло LastPass или TikTok Invisible body Challenge, использованное хакерами здесь».
Source: Ошибка Sirius XM приводит к угону автомобилей