Przejdź na

Cztery marki aut podatne na hakowanie. Wystarczyła jedna luka

Badacze zajmujący się cyberbezpieczeństwem odkryli, że kilka marek samochodowych było narażonych na zdalne ataki hakerów z powodu luki w usłudze połączonych pojazdów dostarczanej przez Sirius XM.

Badacze bezpieczeństwa zhakowali cztery samochody czterech marekBadacze bezpieczeństwa zhakowali cztery samochody czterech marek
Źródło zdjęć: © Getty Images | dardespot
Konrad Siwik
Konrad Siwik

Sirius XM twierdzi na swojej stronie internetowej, że z jego połączonych usług korzysta ponad 12 mln pojazdów w Ameryce Północnej, w tym samochody marki Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru i Toyota.

Badacz Sam Curry ostatnio w serii tweetów opisał niedawny projekt hakowania samochodów, którego celem był Sirius XM stanowiący wspólny system dla wielu marek samochodowych. Analiza doprowadziła do odkrycia domeny używanej podczas rejestracji pojazdów w funkcji zdalnego zarządzania Sirius XM – poinformował Curry w wątku na Twitterze.

Honda, Nissan, Infiniti i Acura zhakowane

Wstępne testy przeprowadzono w aplikacji mobilnej NissanConnect, co doprowadziło do odkrycia luki, która może pozwolić zdalnemu hakerowi na uzyskanie imienia i nazwiska właściciela pojazdu, jego numeru telefonu, adresu i danych samochodu po prostu znając jego numer VIN, który jest zwykle widoczny na przedniej szybie. Atakujący musiałby wysłać specjalnie spreparowane żądania HTTP zawierające VIN ofiary w określonym parametrze.

Dalsza część artykułu pod materiałem wideo

Dalsza analiza wykazała, że ta sama luka może zostać wykorzystana do uruchomienia poleceń dotyczących pojazdów, w tym zlokalizowania, odblokowania i uruchomienia samochodu, a także do migania reflektorami i trąbienia klaksonem.

Badacze ustalili, że taki atak można przeprowadzić na samochody marki Honda, Nissan, Infiniti i Acura.

Sirius XM natychmiast załatał lukę po otrzymaniu informacji o jej istnieniu. Firma przekazała, że wydała łatę w ciągu 24 godzin i zauważyła, że nie ma dowodów na to, że jakiekolwiek dane zostały naruszone lub wprowadzono nieautoryzowane modyfikacje.

W osobnym wątku na Twitterze w tym tygodniu Curry poinformował o innej luce, takiej, która pozwalała badaczom kontrolować niektóre funkcje pojazdów Hyundai i Genesis – w tym zamki, silnik, klakson, reflektory i bagażnik – znając adres e-mail, którego ofiara użyła do rejestracji konta użytkownika. Atak rzekomo działał na pojazdy wyprodukowane po 2012 roku. Hyundai i Genesis również wypuściły łatki po otrzymaniu powiadomienia.

Konrad Siwik, dziennikarz dobreprogramy.pl

Wybrane dla Ciebie
Wiadomość o nadpłacie za gaz. Podszywają się pod Orlen
Wiadomość o nadpłacie za gaz. Podszywają się pod Orlen
Zapowiedź zmian w mObywatelu. Rewolucja dla kierowców
Zapowiedź zmian w mObywatelu. Rewolucja dla kierowców
Odpalił Dooma w... chatbocie. Ty też możesz
Odpalił Dooma w... chatbocie. Ty też możesz
YouTube włącza PIP dla wszystkich użytkowników
YouTube włącza PIP dla wszystkich użytkowników
Kabel USB-C: co sprawdzić przed zakupem?
Kabel USB-C: co sprawdzić przed zakupem?
Aktualizacja KSeF 2.0. Pozwala zgłaszać fałszywe faktury
Aktualizacja KSeF 2.0. Pozwala zgłaszać fałszywe faktury
Nowość w Uberze. Rośnie konkurencja dla Booking
Nowość w Uberze. Rośnie konkurencja dla Booking
Nie odpędzisz się od YT Shorts. Trafi do twojego telewizora
Nie odpędzisz się od YT Shorts. Trafi do twojego telewizora
Zwrot w planach. Windows ma potrzebować mniej RAM-u
Zwrot w planach. Windows ma potrzebować mniej RAM-u
Komisja Europejska nalega. Chodzi o bezpieczeństwo najmłodszych
Komisja Europejska nalega. Chodzi o bezpieczeństwo najmłodszych
Chroń PIN i hasło. Oszuści mają banalną metodę
Chroń PIN i hasło. Oszuści mają banalną metodę
Ważna opcja w Google Maps. Przyda się każdemu
Ważna opcja w Google Maps. Przyda się każdemu
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE