Les chercheurs en cybersécurité ont découvert une vulnérabilité de sécurité qui expose les voitures de Honda, Nissan, Infiniti et Acura à des attaques à distance via un service de véhicule connecté fourni par SiriusXM.
Le problème pourrait être exploité pour déverrouiller, démarrer, localiser et klaxonner n’importe quelle voiture de manière non autorisée simplement en connaissant le numéro d’identification du véhicule (VIN), a déclaré le chercheur Sam Curry dans un Fil Twitter La semaine dernière.
Les services de véhicules connectés (CV) de SiriusXM sont a dit être utilisé par plus de 10 millions de véhicules en Amérique du Nord, y compris Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru et Toyota.
Le système est conçu pour permettre une large gamme de services de sûreté, de sécurité et de commodité tels que la notification automatique d’accident, l’assistance routière améliorée, le déverrouillage des portes à distance, le démarrage du moteur à distance, l’assistance à la récupération de véhicule volé, la navigation pas à pas et l’intégration avec les appareils domestiques intelligents, entre autres.
La vulnérabilité concerne une faille d’autorisation dans un programme télématique qui a permis de récupérer les détails personnels d’une victime ainsi que d’exécuter des commandes sur les véhicules en envoyant une requête HTTP spécialement conçue contenant le numéro VIN à un point de terminaison SiriusXM (« telematics.net ») .
Dans un développement connexe, Curry a également détaillé une vulnérabilité distincte affectant les voitures Hyundai et Genesis qui pourrait être exploitée pour contrôler à distance les serrures, les moteurs, les phares et les coffres des véhicules fabriqués après 2012 en utilisant les adresses e-mail enregistrées.
Grâce à l’ingénierie inverse des applications MyHyundai et MyGenesis et à l’inspection du trafic API, les chercheurs ont trouvé un moyen de contourner l’étape de validation des e-mails et de prendre le contrôle à distance des fonctions d’une voiture cible.
« En ajoutant un Caractère CRLF à la fin d’une adresse e-mail de victime déjà existante lors de l’inscription, nous pouvions créer un compte qui contournait la vérification de comparaison des paramètres JWT et e-mail », a expliqué Curry.
SiriuxXM et Hyundai ont depuis déployé des correctifs pour corriger les défauts.
Les résultats viennent alors que Sandia National Laboratories résumé un nombre de défauts connus dans l’infrastructure alimentant la recharge des véhicules électriques (VE), qui pourrait être exploitée pour écrémer les données des cartes de crédit, modifier les prix et même détourner tout un réseau de chargeurs de VE.