Уязвимость, затрагивающая службы подключенных транспортных средств Sirius XM, могла позволить хакерам удаленно запускать, разблокировать, определять местоположение, мигать фарами и подавать сигнал на автомобилях. Группа исследователей безопасности смогла обнаружить эту уязвимость, и изложила свои выводы в ветке в Твиттере.
Помимо предоставления подписки на спутниковое радио, Sirius XM также поддерживает телематические и информационно-развлекательные системы, используемые рядом производителей автомобилей, включая Acura, BMW, Honda, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru и Toyota. Эти системы собирают огромное количество информации о вашем автомобиле, которую легко упустить из виду и которая может иметь потенциальные последствия для конфиденциальности. В прошлом году отчет Vice привлек внимание к шпионской фирме под названием Ulysses, которая собрала и планировала продать правительству США более 15 миллиардов телематических местоположений для автомобилей.
В то время как телематические системы получают данные о местоположении вашего автомобиля по GPS, скорости, пошаговой навигации и требованиях к техническому обслуживанию, некоторые настройки информационно-развлекательной системы могут отслеживать журналы вызовов, голосовые команды, текстовые сообщения и многое другое. Все эти данные позволяют автомобилям предоставлять "умные" функции, такие как автоматическое обнаружение столкновений, удаленный запуск двигателя, оповещения об угнанных автомобилях, навигация и возможность удаленно запирать или разблокировать свой автомобиль. Sirius XM предлагает все эти функции и многое другое, и говорит, что более 12 миллионов транспортных средств на дорогах используют его системы.
Однако, злоумышленники могут воспользоваться этой системой, если не будут приняты надлежащие меры предосторожности. В заявлении для Gizmodo специалисты сообщают, что Sirius XM построила инфраструктуру для отправки/получения этих данных и позволила клиентам аутентифицироваться с помощью мобильного приложения, такого как MyHonda или Nissan Connected. Пользователи могут входить в свои учетные записи в этих приложениях, которые связаны с VIN-номером своего автомобиля, чтобы выполнять команды и получать информацию о своих автомобилях.
Именно эта система может дать злоумышленникам доступ к чьей-то машине, поскольку Sirius XM использует VIN-номер, связанный с учетной записью человека, для передачи информации и команд между приложением и его серверами. Создав HTTP-запрос для получения профиля пользователя с VIN-кодом, специалисты смогли получить имя владельца автомобиля, номер телефона, адрес и данные об автомобиле. Затем они попытались выполнить команды, используя VIN-код, и обнаружили, что могут дистанционно управлять автомобилем: запирать или разблокировать его, заводить машину и выполнять другие функции.
Специалисты предупредили Sirius XM о данной проблеме за некоторое время до официального заявления. В сообщении для The Verge представитель компании уже заявил, что уязвимость была устранена в течение 24 часов после отправки отчета, добавив, что ни разу не были скомпрометированы какие-либо данные подписчика или другие данные, а также не была изменена какая-либо несанкционированная учетная запись с использованием этого метода.
Белые хакеры уже находили подобные эксплойты в прошлом. В 2015 году исследователь безопасности обнаружил взлом OnStar, который мог позволить злоумышленникам удаленно определить местонахождение автомобиля, открыть его двери или завести машину. Примерно в то же время отчет Wired показал, как можно удаленно взломать Jeep Cherokee и управлять им с помощью кого-то за рулем.