Ein Fehler im Code, der es Kriminellen ermöglichte, Autos über das Internet zu stehlen, wurde Berichten zufolge jetzt behoben, und die Besitzer wurden aufgefordert, ihre Systeme sofort zu aktualisieren.
Der Fehler wurde in Connected Vehicle Services gefunden, einem Softwarepaket, das eine Vielzahl von Funktionen wie automatische Unfallbenachrichtigungen, erweiterte Pannenhilfe, Fernentriegelung von Türen, Fernstart, Wiederherstellung gestohlener Fahrzeuge, Turn-by-Turn-Navigation und Integration von Smart Home bietet . Geräte.
Vernetzte Fahrzeugdienste werden von SiriusXM entwickelt und von einer Vielzahl von Autoherstellern verwendet, darunter Honda, Nissan, Infiniti und Acura, die alle anfällig waren.
Fahrgestellnummer für die Autorisierung
Der Fehler wurde von Yuga Labs-Sicherheitsforscher Sam Curry veröffentlicht, der es gewohnt ist, Sicherheitslücken in Autos zu finden. In einem Twitter-Thread (wird in einem neuen Tab geöffnet) erklärte Curry, wie der Fehler funktioniert, und fügte hinzu, dass SiriusXM ihn bereits gepatcht habe.
Das Problem wurde offenbar dadurch verursacht, dass die Telematikplattform die Fahrzeugidentifikationsnummer (VIN) des Autos verwendete, die häufig auf der Windschutzscheibe zu finden ist, um Befehle zu autorisieren und Benutzerprofile einzugeben.
Das bedeutet, dass jeder, der die Fahrgestellnummer kennt, aus der Ferne eine Reihe von Befehlen erteilen kann, vom Entriegeln der Türen bis zum Starten des Motors.
Als Antwort auf die Ergebnisse von The Register sagte der Unternehmenssprecher, dass SiriusXM durch sein Kopfgeldjagdprogramm einen Hinweis erhalten habe.
„Wir nehmen die Sicherheit der Konten unserer Kunden ernst und beteiligen uns an einem Bug-Bounty-Programm, um potenzielle Sicherheitslücken auf unseren Plattformen zu identifizieren und zu beheben“, heißt es in der Erklärung.
„Im Rahmen dieser Arbeit übermittelte ein Sicherheitsforscher einen Bericht an Sirius XM Connected Vehicle Services über eine Berechtigungsverletzung, die ein bestimmtes Telematikprogramm betrifft. Das Problem wurde innerhalb von 24 Stunden nach Übermittlung des Berichts behoben. Zu keinem Zeitpunkt wurden Abonnenten- oder andere Daten kompromittiert und es wurden keine nicht autorisierten Konten mit dieser Methode geändert.“
Über: Die Registrierung (Öffnet in einem neuen Tab)