Исследователь раскрыл способ взлома японских автомобилей

6 декабря 2022 года

Автомобиль Honda.

Исследователь кибербезопасности Сэм Карри обнаружил уязвимость, которая позволяет проводить кибератаки на автомобили Honda, Nissan, Infiniti и Acura через службу подключенных транспортных средств, предоставляемую компанией SiriusXM.

По словам эксперта кибербезопасности Сэма Карри, эта проблема может быть использована для:

  • разблокировки дверей;
  • запуска двигателя;
  • обнаружения автомобиля;
  • подачи сигнала автомобилю.

Более того, для всех этих действий достаточно знать VIN-номер автомобиля.

Услугами SiriusXM Connected Vehicles пользуются более 10 млн автомобилей в Северной Америке, включая Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru и Toyota.

Система по обеспечению безопасности предоставляет следующие функции, среди прочих:

  • автоматическое уведомление о столкновении;
  • удаленное отпирание дверей,
  • удаленный запуск двигателя,
  • помощь в поиске угнанного автомобиля
  • интеграция автомобиля с системой «умный дом» и др.

Уязвимость связана с ошибкой авторизации в телематической программе, которая позволяет получать личные данные жертвы, а также выполнять команды на автомобиле путем отправки на конечную точку SiriusXM («telematics.net») специально созданного HTTP-запроса, содержащего VIN-номер.

Также Карри описал отдельную уязвимость, затрагивающую автомобили Hyundai и Genesis, которая с помощью зарегистрированных адресов электронной почты позволяет удаленно управлять замками, двигателем, фарами и багажниками автомобилей, выпущенных после 2012 года.

Путем обратной разработки приложений MyHyundai и MyGenesis и проверки API-трафика исследователи нашли способ обойти этап проверки электронной почты и удаленно захватить контроль над функциями целевого автомобиля.

Карри пояснил:

«Добавив символ CRLF в конце уже существующего email-адреса жертвы во время регистрации, мы смогли создать учетную запись, которая обошла проверку сравнения параметров JWT и электронной почты.»

На данный момент SiriusXM и Hyundai выпустили исправления для устранения недостатков.

Недавно издание Forbes рассказало, что федеральные правоохранительные органы вместе с иммиграционной и пограничной службами используют технологии, которые с помощью уязвимостей в медиасистемах извлекают данные из 10 000 различных моделей автомобилей. В 2022 году сотрудники иммиграционных служб и полицейские всё чаще стали собирать улики таким способом — иногда это даёт больше информации, чем телефон преступника.

Источники

править


Комментарии:Исследователь раскрыл способ взлома японских автомобилей