Cztery marki aut podatne na hakowanie. Wystarczyła jedna luka

Badacze zajmujący się cyberbezpieczeństwem odkryli, że kilka marek samochodowych było narażonych na zdalne ataki hakerów z powodu luki w usłudze połączonych pojazdów dostarczanej przez Sirius XM.

Sirius XM twierdzi na swojej stronie internetowej, że z jego połączonych usług korzysta ponad 12 mln pojazdów w Ameryce Północnej, w tym samochody marki Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru i Toyota.

Badacz Sam Curry ostatnio w serii tweetów opisał niedawny projekt hakowania samochodów, którego celem był Sirius XM stanowiący wspólny system dla wielu marek samochodowych. Analiza doprowadziła do odkrycia domeny używanej podczas rejestracji pojazdów w funkcji zdalnego zarządzania Sirius XM – poinformował Curry w wątku na Twitterze.

Wstępne testy przeprowadzono w aplikacji mobilnej NissanConnect, co doprowadziło do odkrycia luki, która może pozwolić zdalnemu hakerowi na uzyskanie imienia i nazwiska właściciela pojazdu, jego numeru telefonu, adresu i danych samochodu po prostu znając jego numer VIN, który jest zwykle widoczny na przedniej szybie. Atakujący musiałby wysłać specjalnie spreparowane żądania HTTP zawierające VIN ofiary w określonym parametrze.

Dalsza część artykułu pod materiałem wideo

Dalsza analiza wykazała, że ta sama luka może zostać wykorzystana do uruchomienia poleceń dotyczących pojazdów, w tym zlokalizowania, odblokowania i uruchomienia samochodu, a także do migania reflektorami i trąbienia klaksonem.

Badacze ustalili, że taki atak można przeprowadzić na samochody marki Honda, Nissan, Infiniti i Acura.

Sirius XM natychmiast załatał lukę po otrzymaniu informacji o jej istnieniu. Firma przekazała, że wydała łatę w ciągu 24 godzin i zauważyła, że nie ma dowodów na to, że jakiekolwiek dane zostały naruszone lub wprowadzono nieautoryzowane modyfikacje.

W osobnym wątku na Twitterze w tym tygodniu Curry poinformował o innej luce, takiej, która pozwalała badaczom kontrolować niektóre funkcje pojazdów Hyundai i Genesis – w tym zamki, silnik, klakson, reflektory i bagażnik – znając adres e-mail, którego ofiara użyła do rejestracji konta użytkownika. Atak rzekomo działał na pojazdy wyprodukowane po 2012 roku. Hyundai i Genesis również wypuściły łatki po otrzymaniu powiadomienia.