Согласно сообщениям, ошибка кода, которая позволяла преступникам угонять автомобили через Интернет, теперь исправлена, и владельцам настоятельно рекомендуется немедленно обновить свои системы.
Уязвимость была обнаружена в Connected Vehicle Services, программном пакете, предлагающем множество функций, таких как автоматические уведомления о сбоях, расширенная помощь на дороге, удаленное отпирание дверей, удаленный запуск, помощь в поиске украденного автомобиля, пошаговая навигация и интеграция с умным домом. устройства.
Connected Vehicle Services разработана SiriusXM и используется большим количеством автопроизводителей, включая Honda, Nissan, Infiniti и Acura, все из которых были уязвимы.
ВИН для авторизации
Уязвимость была обнародована исследователем безопасности Yuga Labs Сэмом Карри, который имеет большой опыт в поиске недостатков безопасности в автомобилях. В ветка в Твиттере (откроется в новой вкладке)Карри объяснил, как работает уязвимость, и добавил, что SiriusXM уже ее исправила.
Судя по всему, проблема возникла из-за того, что телематическая платформа использует идентификационный номер автомобиля (VIN), который часто находится на лобовом стекле, для авторизации команд и захвата профилей пользователей.
Это означает, что любой, кто знает VIN-номер, может удаленно отдавать ряд команд, от разблокировки дверей до запуска двигателя.
Отвечая на выводы в Регистрпредставитель компании сказал, что SiriusXM была проинформирована через ее программу охоты за головами.
«Мы серьезно относимся к безопасности учетных записей наших клиентов и участвуем в программе вознаграждений за обнаружение ошибок, чтобы помочь выявить и исправить потенциальные недостатки безопасности, влияющие на наши платформы», — говорится в заявлении.
«В рамках этой работы исследователь безопасности представил отчет в Службу подключенных транспортных средств Sirius XM об ошибке авторизации, влияющей на конкретную программу телематики. Проблема была решена в течение 24 часов после отправки отчета. Ни один абонент или другие данные не были скомпрометированы, а несанкционированная учетная запись не была изменена с использованием этого метода».
С помощью: Регистр (откроется в новой вкладке)
