Un hacker sfrutta il difetto di Sirius XM per sbloccare da remoto e suonare il clacson sulle auto

Nell’era dei veicoli connessi a Internet, i nuovi problemi di sicurezza informatica stanno ridefinendo il significato di “rubare” un’auto.

In un recente esperimento di Sam Curry, un ingegnere della sicurezza dello staff di Yuga Labs e autodefinitosi hacker, il suo team è stato in grado di sfruttare una vulnerabilità nel software Sirius XM per ottenere l'accesso remoto ai veicoli utilizzando i numeri di identificazione del veicolo (VIN) disponibili al pubblico. , Rapporti The Verge(Si apre in una nuova finestra).

L'ombrello dei servizi connessi SiriusXM comprende sistemi di infotainment e telematici(Si apre in una nuova finestra), utilizzati da oltre 15 OEM, tra cuiAcura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru e Toyota.

Le applicazioni per veicoli come MyHonda o Nissan Connect(Si apre in una nuova finestra) dispongono di integrazioni Sirius XM. Quindi, per l'esperimento di hacking, Curry ha chiesto a un amico il suo account Nissan e ha effettuato l'accesso. Questo gli ha dato accesso all'app Nissan per ispezionarne il backend.

Curry ha notato che il sistema di sicurezza aveva una scappatoia nell'accesso. Non richiedeva un nome utente e una password univoci per accedere all'account di qualcuno. Invece, Curry potrebbe inserire solo il VIN, che è pubblicamente affisso sul parabrezza di qualsiasi veicolo.

Il team ha quindi scritto uno script Python che utilizzava il VIN per eseguire i comandi del veicolo, consentendo loro di avviare, sbloccare, localizzare, accendere le luci e suonare il clacson da remoto. In teoria, un cattivo attore potrebbe copiare il VIN di qualsiasi auto nella sua zona, inserirlo nella sceneggiatura e sbloccare il veicolo per rubare qualcosa all'interno.

È emerso anche un altro rischio: il programma di Curry ha avuto accesso alle informazioni private dei clienti come indirizzo, nome, numero di telefono e latitudine/longitudine dell'auto. Un hacker potrebbe utilizzare queste informazioni in diversi modi, incluso monitorare regolarmente l'auto utilizzando la sua latitudine e longitudine, utilizzando la sua posizione nota per pianificare attività nefaste sulla casa del proprietario.

"A questo punto, abbiamo identificato che era possibile accedere alle informazioni sui clienti ed eseguire comandi sui veicoli Honda, Infiniti e Acura oltre che su Nissan", ha twittato Curry. "Abbiamo segnalato il problema a SiriusXM che lo ha risolto immediatamente e ha convalidato la patch."

"In nessun momento alcun abbonato o altri dati sono stati compromessi né alcun account non autorizzato è stato modificato utilizzando questo metodo", ha detto a The Verge un portavoce di Sirius XM.

Iscriviti a SecurityWatchnewsletter con le nostre principali storie sulla privacy e sulla sicurezza consegnate direttamente nella tua casella di posta.

Questa newsletter può contenere pubblicità, offerte o link di affiliazione. L'iscrizione a una newsletter indica il tuo consenso ai nostri Termini di utilizzo e Informativa sulla privacy. Potrai cancellarti dalle newsletter in qualsiasi momento.

La tua iscrizione è stata confermata. Tieni d'occhio la tua casella di posta!