Onderzoek naar zelfrijdende auto’s heeft een Sirius XM-bug ontdekt die een enorm beveiligingslek veroorzaakt.
Volgens recent gepubliceerd onderzoek waren verschillende bekende autofabrikanten, waaronder Honda, Nissan, Infiniti en Acura, kwetsbaar voor een voorheen onbekende beveiligingsfout die een slimme hacker mogelijk in staat had gesteld voertuigen over te nemen en klantgegevens te stelen met behulp van een bug in de satelliet. radio Sirius XM.
Onderzoekers beweren dat een bug in de Sirius XM-telematica-infrastructuur van de auto een hacker in staat zou hebben gesteld een voertuig op afstand te lokaliseren, te ontgrendelen en te starten, de lichten te laten knipperen, te claxonneren, de kofferbak te openen en toegang te krijgen tot persoonlijke klantinformatie zoals die van de eigenaar. naam, telefoonnummer, adres en voertuiggegevens.
Waarom is de Sirius XM-bug gevaarlijk?
De meerderheid van de hedendaagse auto’s zijn in wezen op het internet aangesloten computers op wielen, zelfs als u geen Tesla bezit. Auto’s zijn handiger en flexibeler dan ooit dankzij de in- en uitstroom van voertuiggegevens of telematica, maar ze zijn ook vatbaarder voor aanvallen van hackers en kapingen op afstand.
Het is bekend dat autofabrikanten voertuiggegevens verkopen aan bewakingsleveranciers, die vervolgens vreemde dingen doen, zoals verkopen aan overheidsinstanties, waardoor de telematicasector een enorm privacyrisico vormt.
De fout werd gevonden door een team van beveiligingsexperts die problemen onderzochten waarbij belangrijke autofabrikanten betrokken waren. Sam Curry, een 22-jarige cyberbeveiligingsspecialist die lid is van het onderzoeksteam, zei dat hij en zijn vrienden geïnteresseerd waren in het soort problemen dat zich zou voordoen als ze zouden kijken naar de aanbieders van zogenaamde “telematicadiensten”. ” voor autofabrikanten.
Sirius XM-bug uitgelegd
Curry en zijn collega’s ontdekten een authenticatiefout in de Sirius XM-infrastructuur nadat ze zich hadden verdiept in code die was gekoppeld aan verschillende auto-apps. De infotainmentsystemen in de meeste auto’s bevatten Sirius, dat bijbehorende telematicadiensten aanbiedt aan de meeste autofabrikanten.
Volgens Curry is Sirius XM een veelvoorkomend kenmerk in voertuigen, en over de fout verklaarde hij dat:
“, gebundeld met het infotainmentsysteem dat acties op het voertuig kan uitvoeren en via satelliet met internet communiceert naar de SiriusXM API. Het is alsof je een mobiele telefoon op je auto hebt aangesloten en sms-berichten van de auto kunt ontvangen en verzenden om hem te vertellen wat hij moet doen of om de staat van de auto te delen met de afzender.”
”In dit geval bouwden ze infrastructuur rond het verzenden/ontvangen van deze gegevens en stelden ze klanten in staat om zich te authenticeren met behulp van een of andere mobiele app (of het nu de Nissan Connected mobiele app is of de MyHonda-app). Zodra de klant was ingelogd op zijn account en zijn VIN-nummer aan zijn account was gekoppeld, hadden ze toegang tot die pijplijn waar ze opdrachten konden uitvoeren en gegevens (bijvoorbeeld locatie, snelheid, enz.) Van hun voertuig konden ontvangen.
– Sam Curry, cyberbeveiligingsspecialist
Individuele voertuigen verzenden en ontvangen opdrachten en gegevens naar Sirius, wat betekent dat onder de juiste omstandigheden informatie kan worden onderschept. Curry voegde eraan toe dat een cybercrimineel mogelijk de controle over het voertuig en de gegevens die aan het klantaccount zijn gekoppeld, heeft overgenomen door gebruik te maken van een zwakke plek in de Sirius XM-systeemauthenticatie.
Je kunt meer details en gevaren over de Sirius XM-bug bekijken in de tweet van Sam Curry die hij deelde op zijn @samwcyo account.
Meer auto hacken!
Eerder dit jaar konden we alle op afstand verbonden Honda-, Nissan-, Infiniti- en Acura-voertuigen op afstand ontgrendelen, starten, lokaliseren, flitsen en toeteren, volledig zonder toestemming, alleen met het VIN-nummer van de auto.
Hier is hoe we het hebben gevonden en hoe het werkt: pic.twitter.com/ul3A4sT47k
— Sam Curry (@samwcyo) 30 november 2022
Toen Sirius XM werd gecontacteerd voor commentaar, herkenden ze het probleem en gaven ze het volgende antwoord:
“Een beveiligingsonderzoeker diende een [bug bounty] rapporteer aan de Connected Vehicle Services van Sirius XM over een autorisatiefout die van invloed is op een specifiek telematicaprogramma. Het probleem werd binnen 24 uur na het indienen van de melding opgelost. Op geen enkel moment is een abonnee of andere gegevens gecompromitteerd, noch is een ongeautoriseerd account met deze methode gewijzigd.
– Sirius XM
Dat dekt alles voor de beveiligingsfout in de Sirius XM-bug. Om te controleren of uw auto Sirius XM heeft, kunt u de de officiële website van het bedrijf.
Bent u geïnteresseerd in cyberbeveiliging? Bekijk onze andere artikelen met de titel Cloud wordt aangevallen: GoTo-gegevensinbreuk heeft uiteindelijk invloed gehad op LastPass of TikTok Invisible body-uitdaging die vanaf hier door hackers wordt uitgebuit.
Source: Een Sirius XM-bug zorgt ervoor dat auto’s worden gekaapt
