Sicherheitslücke in SiriusXM ermöglicht Hackern, vernetzte Autos aus welcher Ferne zu entsperren und zu starten

05. zwölfter Monat des Jahres 2022Ravie LakshmananFahrzeugsicherheit / World Wide Web welcher Gedöns

Cybersicherheitsforscher nach sich ziehen eine Sicherheitslücke entdeckt, die Autos von Honda, Nissan, Infiniti und Acura via verschmelzen von SiriusXM bereitgestellten vernetzten Fahrzeugdienst Fernangriffen aussetzt.

Dies Problem könnte ausgenutzt werden, um jedes Kutsche aufwärts unbefugte Weise zu entriegeln, zu starten, zu lokalisieren und zu hupen, nur während man die Fahrzeugidentifikationsnummer (VIN) des Fahrzeugs kennt, sagte welcher Forscher Sam Curry in a Twitter-Thread letzte Woche.

Die Connected Vehicles (CV) Services von SiriusXM sollen von mehr wie 10 Mio. Fahrzeugen in Nordamerika genutzt werden, darunter Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Staat Rover, Lexus, Nissan, Subaru und Toyota.

Dies System ist so konzipiert, dass es eine breite Palette von Sicherheits- und Komfortdiensten ermöglicht, wie z Smart-Home-Geräte, unter anderem.

Die Schwachstelle bezieht sich aufwärts verschmelzen Autorisierungsfehler in einem Telematikprogramm, dies es ermöglichte, die persönlichen Wissen eines Opfers abzurufen sowie Befehle aufwärts den Fahrzeugen auszuführen, die eine speziell gestaltete Hypertext Transfer Protocol-Voraussetzung mit welcher VIN-Nummer an verschmelzen SiriusXM-Endpunkt (“telematics.net”) senden. .

In einer verwandten Weiterentwicklung zweitrangig Curry detailliert eine separate Schwachstelle, die Hyundai- und Schöpfungsgeschichte-Autos betrifft und dazu missbraucht werden könnte, die Schlösser, Motoren, Scheinwerferlicht und den Kofferraum welcher nachdem 2012 hergestellten Fahrzeuge unter Verwendung welcher registrierten Email-Adressen fernzusteuern.

Durch Reverse Engineering welcher MyHyundai- und MyGenesis-Apps und Untersuchung des API-Verkehrs fanden die Forscher verschmelzen Weg, um den Email-Validierungsschritt zu umgehen und die Leistungsnachweis via die Funktionen eines Zielautos aus welcher Ferne zu übernehmen.

„Durch Hinzufügen eines CRLF-Zeichens am Finale einer schon bestehenden Email-Denkschrift eines Opfers während welcher Registrierung konnten wir ein Konto erstellen, dies die JWT- und Email-Parametervergleichsprüfung umging“, erklärte Curry.

SiriuxXM und Hyundai nach sich ziehen inzwischen Patches herausgebracht, um die Fehler zu beheben.

Die Ergebnisse kommen, wie Sandia Patriotisch Laboratories eine Schlange bekannter Mängel in welcher Unterbau für jedes dies Laden von Elektrofahrzeugen (EV) zusammenfasste, die ausgenutzt werden könnten, um Kreditkartendaten zu flüchtig lesen, Preise zu ändern und sogar ein ganzes EV-Ladenetzwerk zu kapern.