Ловецът на бъгове Сам Къри откри уязвимост в телематичната платформа SiriusXM Connected Vehicle Services, която му позволява да извършва от разстояние неоторизирани задачи в смарт автомобили, като отключване, стартиране на двигателя и дори натискане на клаксона на всички дистанционно свързани автомобили Honda, Nissan, Infiniti и Acura.

Всичко, от което се е нуждаел хакерът с бяла шапка, е било да знае VIN кода на автомобила. VIN номерът често е лесно достъпен за всеки, който минава покрай някой автомобил, тъй като  се вижда на предното стъкло или на други части на автомобилите. Освен това VIN номерата често са част от изтичане на данни – през 2017г. личната информация на повече от 10 милиона собственици на автомобили в САЩ беше разкрита при масово изтичане на идентификационни номера на автомобили.

Бъга на телематичната платформа Sirius XM също позволява на хакерите да откраднат данни от набелязаните интелигентни автомобили. Информацията, която е лесно достъпна за проучване от хакерите, включва името на собственика и данни за контакт, като телефонен номер и адрес. Изследователят по киберсигурност е докладвал за грешката на Sirius XM и уязвимостта е била отстранена.

Gizmodo потърси Sirius XM за коментар и PR представител на американската компания за радиоразпръскване призна за проблема и потвърди съществуването на грешката. Неназованият представител на Sirius XM заяви пред Gizmodo, че проблемът е бил разрешен в рамките на 24 часа след подаването на доклада. Според изявлението хакерите никога не са се възползвали злонамерено от грешката. В нито един момент не са били компрометирани данни за абонати или други данни, нито пък някой акаунт е бил модифициран с помощта на тази уязвимост в сигурността.

22-годишният ловец на  бъгове обясни в Twitter, че повечето автомобили със SiriusXM са оборудвани със системата за развлечение и информация. Системата осигурява много удобства, като например възможност за извършване на действия с автомобила, които включват заключване, отключване и намиране. Всеки, който може да се легитимира, може да изпълнява тези задачи и от разстояние. Понякога киберпрестъпниците могат да намерят начин за проникване, тъй като информацията се предава чрез сателит към интернет и се озовава в API на SiriusXM.

Интелигентните автомобили по същество са устройства, свързани с интернет, и това не е първият път, когато хакери намират такива пропуски в удостоверяването като този, открит от младия хакер. Kia и Hyundai все още се занимават с гневни клиенти след предизвикателство в TikTok, което показа как всеки може да открадне някои от по-старите модели на автомобилите само с USB кабел и отвертка. Докато Sirius XM успя да издаде незабавна поправка, производителите на автомобили като Kia и Hyundai трябваше да преосмислят системата за заключване на бъдещите модели.

 

Източник: Panda Media Center

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
21 януари 2025

ИИ в киберсигурността: 20 години иновации

Изкуственият интелект се превърна в ключов фактор в много сектори, ...
21 януари 2025

Злоупотреба с услугите на Microsoft за първонач...

Наблюдавани са две отделни заплахи, които злоупотребяват с услугите...
Бъдете социални
Още по темата
22/01/2025

Ботнетът Murdoc, вариант на...

Изследователи в областта на киберсигурността предупредиха...
20/01/2025

Разкрити са уязвимостите в ...

Kaspersky разкри подробности за над дузина...
15/01/2025

Ivanti поправя критични уяз...

Във вторник Ivanti обяви пачове за...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!