Bir arabayı nasıl hacklersiniz? Görünüşe göre bilgi-eğlence sistemi aracılığıyla.
yeni ortaya çıktı Araştırma Honda, Nissan, Infiniti ve Acura dahil olmak üzere bir dizi büyük otomobil markasının etkilendiğini gösteriyor bilgili bir bilgisayar korsanının araçları kaçırmasına ve kullanıcı verilerini çalmasına izin verecek, daha önce açıklanmayan bir güvenlik hatası tarafından. Araştırmacılara göre, böcek arabanın Sirius XM telematik altyapısındaydı ve bir bilgisayar korsanının uzaktan bir aracın yerini belirlemesine, kilidini açıp çalıştırmasına, ışıkları yakmasına, korna çalmasına, bagajı açmasına ve hassas müşteri bilgilerine erişmesine izin veriyordu. sahibinin adı, telefon numarası, adresi ve araç detayları.
Bir grup güvenlik araştırmacısı, büyük otomobil üreticilerini ilgilendiren sorunları ararken bu hatayı keşfetti. Araştırmacılardan biri olan 22 yaşındaki siber profesyonel Sam Curry, kendisinin ve arkadaşlarının otomobil üreticileri için “telematik hizmetleri” olarak bilinen sağlayıcıları araştırdıklarında ortaya çıkabilecek sorun türlerini merak ettiklerini söyledi.
Bir Tesla sahibi olmasanız bile, çoğu modern araç temelde web bağlantılı tekerlekli bilgisayarlardır. Araç verilerinin girişleri ve çıkışları – olarak bilinenler telematik– arabaları her zamankinden daha kullanışlı ve özelleştirilebilir hale getirirken, aynı zamanda onları siber saldırılara ve uzaktan hırsızlıklara karşı daha savunmasız hale getiriyor. Telematik sektörü de dev mahremiyet tehlikesiçünkü araba üreticileri biliniyordu satmak araç verilerini, daha sonra devlet kurumlarına satmak gibi ürkütücü şeyler yapan gözetim satıcılarına gönderir.
Curry ve meslektaşları, çeşitli araba uygulamalarıyla ilgili kodları karıştırdıktan sonra radyo devi Sirius XM tarafından sağlanan altyapının içinde bir kimlik doğrulama boşluğu keşfetti. Sirius, çoğu arabanın bilgi-eğlence sisteminde bulunur ve çoğu araba üreticisine ilgili telematik hizmetleri sağlar. Curry’nin açıkladığı gibi, çoğu arabada “SiriusXM” bulunur. [vehicle’s] araç üzerinde işlem yapma (kilitleme/kilit açma vb.) yeteneğine sahip olan ve uydu üzerinden internete SiriusXM API ile haberleşen bilgi-eğlence sistemi.” Bu, verilerin ve komutların Sirius’a ve Sirius’tan ayrı araçlar tarafından gönderildiği ve bilgilerin doğru koşullar altında ele geçirilebileceği anlamına gelir.
Curry, “Sanki aracınıza bağlı bir cep telefonunuz varmış ve arabadan ne yapması gerektiğini söyleyen veya arabanın durumunu gönderene geri paylaşan metin mesajları alıp gönderebiliyormuşsunuz gibi,” dedi. “Bu durumda, bu verilerin gönderilmesi/alınması etrafında bir altyapı oluşturdular ve müşterilerin bir tür mobil uygulama (Nissan Connected mobil uygulaması veya MyHonda uygulaması) kullanarak kimliklerini doğrulamalarına olanak sağladılar. Müşteri, hesabında oturum açtıktan ve hesabının VIN numarasıyla ilişkilendirildikten sonra, komutları çalıştırabilecekleri ve araçlarından veri (örn. konum, hız, vb.) alabilecekleri bu boru hattına erişebilirler.”
G/O Media komisyon alabilir
Curry, Sirius XM’nin sistemindeki bir kimlik doğrulama kusurundan yararlanarak, bir siber suçlunun arabayı ve ilgili müşteri hesap bilgilerini ele geçirmiş olabileceğini açıkladı.
Curry, hack’in ne kadar derine indiğini açıklayarak, “Bunu artırmaya devam ettik ve araç komutlarını çalıştırmak için HTTP isteğini bulduk” dedi. “Yalnızca kurbanın ön camdaki VIN numarasını bilerek araçlara komutlar uygulayabilir ve hesaplardan kullanıcı bilgilerini alabiliriz.”
Yorum için ulaşıldığında, Sirius XM sorunu kabul etti ve Gizmodo’ya aşağıdaki yorumu sağladı:
“Bir güvenlik araştırmacısı bir [bug bounty] belirli bir telematik programını etkileyen bir yetkilendirme hatası hakkında Sirius XM’nin Bağlantılı Araç Hizmetlerine rapor verin. Sorun, raporun gönderilmesinden sonraki 24 saat içinde çözüldü. Hiçbir noktada, herhangi bir abonenin veya diğer verilerin güvenliği ihlal edilmedi ve bu yöntem kullanılarak herhangi bir yetkisiz hesap değiştirilmedi.”
Gizmodo ayrıca yorum için etkilenen otomobil üreticilerine ulaştı ve yanıt verirlerse bu hikayeyi güncelleyecek.
Söylemek yeterli, bu günlerde eski püskü bir hurdacıda dolaşmak, güçlendirilmiş elektrikli aracınızdan daha güvenli olabilir. En azından 1979 Ford Pinto’nuz sizi yoldan çıkarabilecek çalınabilir bilgisayar sistemlerine sahip değildi.
