Los investigadores de seguridad cibernética han descubierto una vulnerabilidad de seguridad que expone a los automóviles de Honda, Nissan, Infiniti y Acura a ataques remotos a través de un servicio de vehículo conectado proporcionado por SiriusXM.
El problema podría explotarse para desbloquear, encender, ubicar y tocar la bocina de cualquier automóvil de manera no autorizada con solo conocer el número de identificación del vehículo (VIN) del vehículo, dijo el investigador Sam Curry en un comunicado. Hilo de Twitter la semana pasada.
Los servicios de vehículos conectados (CV) de SiriusXM son dijo para ser utilizado por más de 10 millones de vehículos en América del Norte, incluidos Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru y Toyota.
el sistema es diseñado para permitir una amplia gama de servicios de seguridad, protección y comodidad, como notificación automática de accidentes, asistencia en carretera mejorada, desbloqueo remoto de puertas, arranque remoto del motor, asistencia para la recuperación de vehículos robados, navegación paso a paso e integración con dispositivos domésticos inteligentes, entre otros.
La vulnerabilidad se relaciona con una falla de autorización en un programa telemático que hizo posible recuperar los datos personales de una víctima, así como ejecutar comandos en los vehículos que envían una solicitud HTTP especialmente diseñada que contiene el número VIN a un punto final de SiriusXM (“telematics.net”). .
En un desarrollo relacionado, Curry también detallado una vulnerabilidad separada que afecta a los autos Hyundai y Genesis que podría utilizarse para controlar de forma remota las cerraduras, los motores, los faros y los baúles de los vehículos fabricados después de 2012 mediante el uso de las direcciones de correo electrónico registradas.
A través de la ingeniería inversa de las aplicaciones MyHyundai y MyGenesis e inspeccionando el tráfico de API, los investigadores encontraron una manera de evitar el paso de validación de correo electrónico y tomar el control de las funciones de un automóvil objetivo de forma remota.
“Al agregar un carácter CRLF al final de una dirección de correo electrónico de la víctima ya existente durante el registro, pudimos crear una cuenta que omitió el JWT y la verificación de comparación de parámetros de correo electrónico”, explicó Curry.
Desde entonces, SiriuxXM y Hyundai han implementado parches para corregir las fallas.
Los hallazgos llegan cuando los Laboratorios Nacionales Sandia resumido un numero de fallas conocidas en la infraestructura que alimenta la carga de vehículos eléctricos (EV), que podría explotarse para robar datos de tarjetas de crédito, alterar los precios e incluso secuestrar una red completa de cargadores de EV.
About the Author
