Gli studi sulle auto a guida autonoma hanno scoperto un bug di Sirius XM che causa un’enorme falla di sicurezza.
Secondo una ricerca pubblicata di recente, diverse case automobilistiche famose, tra cui Honda, Nissan, Infiniti e Acura, erano vulnerabili a un difetto di sicurezza precedentemente sconosciuto che avrebbe potuto consentire a un hacker intelligente di impossessarsi dei veicoli e rubare i dati dei clienti utilizzando un bug nel satellite radio Sirius XM.
I ricercatori affermano che un bug nell’infrastruttura telematica Sirius XM dell’auto avrebbe consentito a un hacker di localizzare da remoto un veicolo, sbloccarlo e avviarlo, far lampeggiare le luci, suonare il clacson, aprire il bagagliaio e accedere a informazioni private sui clienti come il proprietario nome, numero di telefono, indirizzo e specifiche del veicolo.
Perché il bug di Sirius XM è pericoloso?
La maggior parte delle automobili contemporanee sono essenzialmente computer su ruote connessi al web, anche se non possiedi una Tesla. Le auto sono più maneggevoli e adattabili che mai grazie all’afflusso e al deflusso di dati del veicolo o alla telematica, ma sono anche più suscettibili agli attacchi degli hacker e al dirottamento remoto.
È noto che le case automobilistiche vendono i dati dei veicoli ai venditori di sorveglianza, che poi fanno cose strane come venderli alle agenzie governative, rendendo il settore telematico un enorme rischio per la privacy.
Il difetto è stato trovato da un team di esperti di sicurezza che stavano esaminando i problemi che coinvolgono importanti case automobilistiche. Sam Curry, uno specialista di sicurezza informatica di 22 anni che fa parte del gruppo di ricerca, ha affermato che lui e i suoi amici erano interessati al tipo di problemi che sarebbero sorti se avessero esaminato i fornitori dei cosiddetti “servizi telematici” ” per le case automobilistiche.
Bug di Sirius XM spiegato
Curry e i suoi colleghi hanno trovato un difetto di autenticazione all’interno dell’infrastruttura Sirius XM dopo aver scavato nel codice connesso a diverse app automobilistiche. I sistemi di infotainment nella maggior parte delle auto contengono Sirius, che offre servizi telematici associati alla maggior parte delle case automobilistiche.
Secondo Curry, Sirius XM è una caratteristica comune nei veicoli e, a proposito del difetto, ha affermato che:
“, in bundle con il sistema di infotainment che ha la capacità di eseguire azioni sul veicolo e comunica via satellite a Internet con l’API SiriusXM. È come se avessi un telefono cellulare collegato al tuo veicolo e potessi ricevere e inviare messaggi di testo dall’auto dicendole cosa fare o condividendo lo stato dell’auto con il mittente.
”In questo caso, hanno costruito un’infrastruttura attorno all’invio/ricezione di questi dati e hanno consentito ai clienti di autenticarsi utilizzando una qualche forma di app mobile (che si tratti dell’app mobile Nissan Connected o dell’app MyHonda). Una volta che il cliente ha effettuato l’accesso al proprio account e al proprio account è stato associato il numero VIN, è stato possibile accedere a quella pipeline in cui è possibile eseguire comandi e ricevere dati (ad esempio posizione, velocità, ecc.) dal proprio veicolo.
– Sam Curry, specialista in sicurezza informatica
I singoli veicoli stanno inviando e ricevendo comandi e dati a Sirius, il che significa che nelle giuste circostanze, le informazioni potrebbero essere intercettate. Curry ha aggiunto che un criminale informatico potrebbe aver preso il controllo del veicolo e dei dati collegati all’account del cliente approfittando di una debolezza dell’autenticazione del sistema Sirius XM.
Puoi controllare maggiori dettagli e pericoli sul bug di Sirius XM dal tweet di Sam Curry che ha condiviso sul suo @samwcyo account.
Altro furto d’auto!
All’inizio di quest’anno, siamo stati in grado di sbloccare, avviare, localizzare, lampeggiare e suonare il clacson da remoto qualsiasi veicolo Honda, Nissan, Infiniti e Acura connesso in remoto, completamente non autorizzato, conoscendo solo il numero VIN dell’auto.
Ecco come l’abbiamo trovato e come funziona: pic.twitter.com/ul3A4sT47k
— Sam Curry (@samwcyo) 30 novembre 2022
Quando Sirius XM è stato contattato per un commento, ha riconosciuto il problema e ha fornito la seguente risposta:
“Un ricercatore di sicurezza ha presentato a [bug bounty] riferire ai Connected Vehicle Services di Sirius XM su un difetto di autorizzazione che ha un impatto su uno specifico programma telematico. Il problema è stato risolto entro 24 ore dall’invio della segnalazione. In nessun momento nessun abbonato o altri dati sono stati compromessi né alcun account non autorizzato è stato modificato utilizzando questo metodo.
-Sirius XM
Questo copre tutto per il difetto di sicurezza del bug di Sirius XM. Per verificare se la tua auto ha Sirius XM puoi controllare il sito ufficiale dell’azienda.
Sei interessato alla sicurezza informatica? Dai un’occhiata ai nostri altri articoli intitolati come Cloud under attack: la violazione dei dati di GoTo ha finito per influenzare LastPass o TikTok Invisible body challenge sfruttata dagli hacker da qui.
Source: Un bug di Sirius XM provoca il dirottamento delle auto