Siber güvenlik araştırmacıları, SiriusXM tarafından sağlanan bağlantılı bir araç hizmeti aracılığıyla Honda, Nissan, Infiniti ve Acura otomobillerini uzaktan saldırılara maruz bırakan bir güvenlik açığı keşfetti.
Araştırmacı Sam Curry’nin yaptığı açıklamada, sorunun yalnızca aracın araç kimlik numarası (VIN) bilinerek yetkisiz bir şekilde herhangi bir arabanın kilidini açmak, çalıştırmak, bulmak ve korna çalmak için kullanılabileceğini söyledi. twitter dizisi geçen hafta.
SiriusXM’nin Bağlantılı Araçlar (CV) Hizmetlerinin Kuzey Amerika’da Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru ve Toyota dahil olmak üzere 10 milyondan fazla araç tarafından kullanıldığı söyleniyor.
Sistem, otomatik çarpışma bildirimi, gelişmiş yol yardımı, uzaktan kapı kilidi açma, uzaktan motor çalıştırma, çalıntı araç kurtarma yardımı, adım adım navigasyon ve entegrasyon gibi çok çeşitli güvenlik, güvenlik ve kolaylık hizmetleri sağlamak üzere tasarlanmıştır. akıllı ev cihazları, diğerleri arasında.
Güvenlik açığı, bir kurbanın kişisel ayrıntılarını almayı ve ayrıca VIN numarasını içeren özel hazırlanmış bir HTTP isteğini bir SiriusXM uç noktasına (“telematics.net”) göndererek araçlarda komutları yürütmeyi mümkün kılan bir telematik programındaki bir yetkilendirme kusuruyla ilgilidir. .
İlgili bir gelişmede, Curry ayrıca detaylı Kayıtlı e-posta adresleri kullanılarak 2012’den sonra üretilen araçların kilitlerini, motorlarını, farlarını ve bagajlarını uzaktan kontrol etmek için suistimal edilebilecek Hyundai ve Genesis arabalarını etkileyen ayrı bir güvenlik açığı.
Araştırmacılar, MyHyundai ve MyGenesis uygulamalarında tersine mühendislik yaparak ve API trafiğini inceleyerek, e-posta doğrulama adımını aşmanın ve hedef arabanın işlevlerini uzaktan ele geçirmenin bir yolunu buldu.
Curry, “Kayıt sırasında zaten var olan bir kurban e-posta adresinin sonuna bir CRLF karakteri ekleyerek, JWT ve e-posta parametre karşılaştırma kontrolünü atlayan bir hesap oluşturabiliriz” diye açıkladı.
SiriuxXM ve Hyundai o zamandan beri kusurları gidermek için yamalar yayınladı.
Bulgular, Sandia Ulusal Laboratuvarları’nın, kredi kartı verilerini gözden geçirmek, fiyatlandırmayı değiştirmek ve hatta tüm bir EV şarj cihazı ağını ele geçirmek için kullanılabilecek elektrikli araç (EV) şarjına güç sağlayan altyapıdaki bilinen bir dizi kusuru özetlediği sırada geldi.