Hacker explora falha do Sirius XM para desbloquear remotamente e buzinar nos carros

Na era dos veículos conectados à Internet, problemas de segurança cibernética recém-descobertos estão redefinindo o que significa "roubar" um carro.

Em um experimento recente de Sam Curry, engenheiro de segurança da Yuga Labs e autodenominado hacker, sua equipe conseguiu explorar uma vulnerabilidade no software Sirius XM para obter acesso remoto a veículos usando seus números de identificação de veículo (VINs) disponíveis publicamente. , Relatórios do The Verge(abre em uma nova janela).

O guarda-chuva SiriusXM Connected Services inclui sistemas de infoentretenimento e telemática (abre em uma nova janela), que são usados ​​por mais de 15 OEMs, incluindoAcura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru e Toyota.

Aplicativos de veículos como MyHonda ou Nissan Connect (abre em uma nova janela) têm integrações Sirius XM. Então, para o experimento de hacking de Curry, ele pediu a um amigo sua conta Nissan e fez login. Isso lhe deu acesso ao aplicativo Nissan para inspecionar seu back-end.

Curry notou que o sistema de segurança tinha uma brecha de login. Não exigia um nome de usuário e senha exclusivos para acessar a conta de alguém. Em vez disso, Curry poderia inserir apenas o VIN, que é afixado publicamente no para-brisa de qualquer veículo.

A equipe então escreveu um script python que usava o VIN para executar os comandos do veículo, permitindo que eles ligassem, destravassem, localizassem, acendessem as luzes e buzinassem remotamente. Teoricamente, um mau ator poderia copiar o VIN de qualquer carro em sua área, conectá-lo ao script e destrancar o veículo para roubar algo dentro dele.

Outro risco também surgiu: o programa de Curry acessava informações privadas do cliente, como endereço, nome, número de telefone e latitude/longitude do carro. Um hacker pode usar essas informações de várias maneiras, incluindo rastrear o carro regularmente usando sua latitude e longitude, usando seu paradeiro conhecido para planejar atividades nefastas na casa do proprietário.

“Nesse ponto, identificamos que também era possível acessar as informações do cliente e executar comandos de veículos nos veículos Honda, Infiniti e Acura, além do Nissan”, tuitou Curry. "Relatamos o problema à SiriusXM, que o corrigiu imediatamente e validou o patch."

"Em nenhum momento nenhum assinante ou outros dados foram comprometidos, nem nenhuma conta não autorizada foi modificada usando esse método", disse um porta-voz da Sirius XM ao The Verge.

Inscreva-se no SecurityWatchboletim informativo para nossas principais histórias de privacidade e segurança entregues diretamente em sua caixa de entrada.

Este boletim informativo pode conter publicidade, ofertas ou links de afiliados. A assinatura de um boletim informativo indica seu consentimento com nossos Termos de Uso e Política de Privacidade. Você pode cancelar a assinatura dos boletins informativos a qualquer momento.

Sua assinatura foi confirmada. Fique de olho na sua caixa de entrada!