Raporlara göre, suçluların internet üzerinden araba çalmasına izin veren bir kod hatası düzeltildi ve sahiplerinden sistemlerini derhal güncellemeleri istendi.
Kusur, otomatik çarpışma bildirimleri, gelişmiş yol yardımı, uzaktan kapı kilidi açma, uzaktan çalıştırma, çalıntı araç kurtarma yardımı, adım adım navigasyon ve akıllı ev ile entegrasyon gibi bir dizi özellik sunan bir yazılım paketi olan Bağlantılı Araç Hizmetlerinde bulundu. cihazlar.
Bağlantılı Araç Hizmetleri, SiriusXM tarafından oluşturulmuştur ve Honda, Nissan, Infiniti ve Acura dahil olmak üzere tümü savunmasız olan çok sayıda otomobil üreticisi tarafından kullanılmaktadır.
Yetkilendirme için VIN
Kusur, otomobillerde güvenlik açıkları bulma konusunda bir geçmişi olan Yuga Labs güvenlik araştırmacısı Sam Curry tarafından kamuoyuna açıklandı. İçinde bir Twitter dizisi (yeni sekmede açılır)Curry, kusurun nasıl çalıştığını açıkladı ve SiriusXM’nin zaten düzelttiğini ekledi.
Görünüşe göre sorun, telematik platformunun komutları yetkilendirmek ve kullanıcı profillerini almak için arabanın genellikle ön camda bulunan Araç Kimlik Numarasını (VIN) kullanması gerçeğinden kaynaklanıyordu.
Bu, VIN numarasını bilen kişinin, kapıların kilidini açmaktan motoru çalıştırmaya kadar bir dizi komutu uzaktan verebileceği anlamına gelir.
Bulgulara yanıt veren Kayıtşirketin sözcüsü, SiriusXM’e ödül avı programı aracılığıyla bilgi verildiğini söyledi.
Bildiride, “Müşterilerimizin hesaplarının güvenliğini ciddiye alıyoruz ve platformlarımızı etkileyen potansiyel güvenlik açıklarını belirlemeye ve düzeltmeye yardımcı olmak için bir hata ödül programına katılıyoruz.”
“Bu çalışmanın bir parçası olarak, bir güvenlik araştırmacısı, Sirius XM’nin Bağlantılı Araç Hizmetlerine belirli bir telematik programını etkileyen bir yetkilendirme kusuru hakkında bir rapor gönderdi. Sorun, raporun gönderilmesinden sonraki 24 saat içinde çözüldü. Hiçbir noktada herhangi bir abonenin veya diğer verilerin güvenliği ihlal edilmedi ve bu yöntem kullanılarak herhangi bir yetkisiz hesap değiştirilmedi.”
Aracılığıyla: Kayıt (yeni sekmede açılır)