Sirius XM’nin bağlantılı araç hizmetlerini etkileyen bir güvenlik açığı, bilgisayar korsanlarının arabaları uzaktan başlatmasına, kilidini açmasına, yerini belirlemesine, ışıkları yakmasına ve korna çalmasına izin verebilirdi. Yuga Labs’ta güvenlik mühendisi olan Sam Curry, açığı keşfetmek için bir grup güvenlik araştırmacısıyla birlikte çalıştı ve bulgularını şu şekilde özetledi: Twitter’da bir ileti dizisi (aracılığıyla Gizmodo).
Sirius XM, uydu radyo aboneliği sağlamanın yanı sıra Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru ve Toyota dahil olmak üzere bir dizi otomobil üreticisi tarafından kullanılan telematik ve bilgi-eğlence sistemlerine de güç veriyor. . Bu sistemler, arabanız hakkında gözden kaçırması kolay olan ve potansiyel mahremiyet etkileri doğurabilecek birçok bilgi toplar. Geçen yıl bir gelen rapor Yardımcısı 15 milyardan fazla arabanın telematik tabanlı konum bilgilerini ABD hükümetine satmayı planlayan bir casus firmasına dikkat çekti.
Telematik sistemleri aracınızın GPS konumu, hızı, adım adım navigasyonu ve bakım gereksinimleri hakkında veri alırken, belirli bilgi-eğlence kurulumları arama günlüklerini, sesli komutları, metin mesajlarını ve daha fazlasını izleyebilir. Tüm bu veriler, araçların otomatik çarpışma algılama, uzaktan motor çalıştırma, çalıntı araç uyarıları, navigasyon ve arabanızı uzaktan kilitleme veya kilidini açma gibi “akıllı” özellikler sunmasına olanak tanır. Sirius XM tüm bu özellikleri ve daha fazlasını sunar ve 12 milyondan fazla araç diyor yolda bağlı araç sistemlerini kullanın.
Ancak, Curry’nin gösterdiği gibi, uygun önlemler alınmadığı takdirde kötü aktörler bu sistemden yararlanabilir. bir açıklamada Gizmodo, Curry, Sirius XM’in “bu verilerin gönderilmesi/alınması etrafında bir altyapı oluşturduğunu ve müşterilerin MyHonda veya Nissan Connected gibi bir tür mobil uygulama kullanarak kimlik doğrulaması yapmasına izin verdiğini” söylüyor. Kullanıcılar, araçlarının VIN numarasına bağlı bu uygulamalar üzerinden hesaplarına giriş yaparak komutları çalıştırabilir ve araçları hakkında bilgi alabilir.
Sirius XM, uygulama ile sunucuları arasında bilgi ve komutları aktarmak için bir kişinin hesabına bağlı VIN numarasını kullandığından, Curry, kötü aktörlerin birinin arabasına erişmesini sağlayabilecek şeyin bu sistem olduğunu açıklıyor. Curry, bir kullanıcının profilini VIN ile almak için bir HTTP isteği oluşturarak araç sahibinin adını, telefon numarasını, adresini ve araba ayrıntılarını alabildiğini söylüyor. Daha sonra VIN’i kullanarak komutları çalıştırmayı denedi ve aracı uzaktan kontrol edebildiğini, aracı kilitlemesine veya kilidini açmasına, arabayı çalıştırmasına ve diğer işlevleri gerçekleştirmesine olanak tanıdığını keşfetti.
Curry, kusur hakkında Sirius XM’i uyardığını ve şirketin hatayı hızla düzelttiğini söylüyor. bir açıklamada Gizmodo, şirket, güvenlik açığının “rapor gönderildikten sonraki 24 saat içinde çözüldüğünü” söyledi ve “hiçbir noktada herhangi bir abonenin veya diğer verilerin güvenliğinin ihlal edilmediğini ve bu yöntem kullanılarak herhangi bir yetkisiz hesabın değiştirilmediğini” belirtti. Sirius XM hemen yanıt vermedi Sınıryorum isteği.
Ayrı ayrı, Curry bir kusuru daha ortaya çıkardı MyHyundai ve MyGenesis uygulamaları içinde, bilgisayar korsanlarının bir aracı uzaktan kaçırmasına da izin verebilir, ancak sorunu çözmek için otomobil üreticisiyle birlikte çalıştığını söylüyor. Beyaz şapkalı bilgisayar korsanları geçmişte benzer istismarlar bulmuşlardır. 2015 yılında bir güvenlik araştırmacısı, kötü aktörlerin bir aracı uzaktan bulmasına, kapılarını açmasına veya arabayı çalıştırmasına izin verebilecek bir OnStar hack’ini ortaya çıkardı. Yaklaşık aynı zamanda, gelen bir rapor kablolu bir Jeep Cherokee’nin nasıl olduğunu gösterdi uzaktan hacklenebilir ve direksiyondaki biriyle kontrol edilebilir.