Siber güvenlik araştırmacıları, SiriusXM tarafından sağlanan bağlantılı bir araç hizmeti aracılığıyla Honda, Nissan, Infiniti ve Acura otomobillerini uzaktan saldırılara maruz bırakan bir güvenlik açığı keşfetti.
Araştırmacı Sam Curry’nin yaptığı açıklamada, sorunun yalnızca aracın araç kimlik numarası (VIN) bilinerek yetkisiz bir şekilde herhangi bir arabanın kilidini açmak, çalıştırmak, bulmak ve korna çalmak için kullanılabileceğini söyledi. twitter dizisi geçen hafta.
SiriusXM’nin Bağlantılı Araçlar (CV) Hizmetleri, söz konusu Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru ve Toyota dahil olmak üzere Kuzey Amerika’da 10 milyondan fazla araç tarafından kullanılacak.
sistem tasarlanmış otomatik çarpışma bildirimi, gelişmiş yol yardımı, uzaktan kapı kilidi açma, uzaktan motor çalıştırma, çalıntı araç kurtarma yardımı, adım adım navigasyon ve akıllı ev cihazlarıyla entegrasyon gibi çok çeşitli güvenlik, güvenlik ve kolaylık hizmetlerini etkinleştirmek için, diğerleri arasında.
Güvenlik açığı, bir SiriusXM uç noktasına (“telematics.net”) VIN numarasını içeren özel hazırlanmış bir HTTP isteği göndererek kurbanın kişisel ayrıntılarını almayı ve araçlarda komutları yürütmeyi mümkün kılan bir telematik programındaki yetkilendirme kusuruyla ilgilidir. ).
İlgili bir gelişmede, Curry ayrıca detaylı Kayıtlı e-posta adresleri kullanılarak 2012’den sonra üretilen araçların kilitlerini, motorlarını, farlarını ve bagajlarını uzaktan kontrol etmek için suistimal edilebilecek Hyundai ve Genesis arabalarını etkileyen ayrı bir güvenlik açığı.
Araştırmacılar, MyHyundai ve MyGenesis uygulamalarında tersine mühendislik yaparak ve API trafiğini inceleyerek, e-posta doğrulama adımını aşmanın ve hedef arabanın işlevlerini uzaktan ele geçirmenin bir yolunu buldu.
“ekleyerek CRLF karakteri kayıt sırasında zaten var olan bir kurban e-posta adresinin sonunda, JWT ve e-posta parametre karşılaştırma kontrolünü atlayan bir hesap oluşturabiliriz,” diye açıkladı Curry.
SiriusXM ve Hyundai o zamandan beri kusurları gidermek için yamalar yayınladı.
Bulgular Sandia Ulusal Laboratuvarları olarak geliyor özetlenmiş bir dizi bilinen kusurlar Bu, kredi kartı verilerini gözden kaçırmak, fiyatlandırmayı değiştirmek ve hatta tüm bir EV şarj cihazı ağını ele geçirmek için kullanılabilecek elektrikli araç (EV) şarjına güç sağlayan altyapıda.
