Sirius XM a été contraint de corriger une faille de sécurité qui permettait aux pirates de déverrouiller, démarrer, localiser, flasher et klaxonner à distance tous les modèles Honda, Nissan, Infiniti et Acura connectés à distance.
Un pirate populaire du nom de Sam Curry a récemment découvert la faille de sécurité et détaillé le processus dans une série de tweets.
Après avoir trouvé une multitude de vulnérabilités affectant différentes sociétés automobiles, Curry et son équipe ont commencé à rechercher un service qui leur fournirait des services télématiques. Il a découvert que SiriusXM était utilisé dans tous les véhicules concernés, puis a déterminé grâce à l’utilisation de l’application NissanConnect qu’il était possible d’inspecter et de modifier le code HTTP.
Plus de piratage de voitures !
Plus tôt cette année, nous avons pu déverrouiller, démarrer, localiser, flasher et klaxonner à distance tous les véhicules Honda, Nissan, Infiniti et Acura connectés à distance, totalement non autorisés, ne connaissant que le numéro VIN de la voiture.
Voici comment nous l’avons trouvé et comment cela fonctionne : pic.twitter.com/ul3A4sT47k
—Sam Curry (@samwcyo) 30 novembre 2022
Il a été découvert que SiriusXM utilisait le VIN d’un véhicule pour autoriser les commandes et récupérer les profils des utilisateurs. Les pirates ont découvert les noms, numéros de téléphone, adresses et détails de la voiture des propriétaires et ont également pu exécuter des commandes de véhicule simplement en connaissant le VIN d’une voiture.
Lis: Les propriétaires de BMW ont déjà piraté leurs voitures et cet abonnement aux sièges chauffants pourrait les inciter à recommencer
Peu de temps après avoir découvert la vulnérabilité, Curry et son équipe ont signalé le problème à SiriusXM qui l’a rapidement corrigé.
« Nous prenons la sécurité des comptes de nos clients au sérieux et participons à un programme de primes de bogues pour aider à identifier et corriger les failles de sécurité potentielles affectant nos plates-formes », a déclaré un porte-parole de Sirius XM Connected Vehicle Services. Le registre. « Dans le cadre de ce travail, un chercheur en sécurité a soumis un rapport aux services de véhicules connectés de Sirius XM sur une faille d’autorisation affectant un programme télématique spécifique. Le problème a été résolu dans les 24 heures suivant la soumission du rapport. À aucun moment, aucun abonné ou autre donnée n’a été compromis et aucun compte non autorisé n’a été modifié à l’aide de cette méthode.
Il a renvoyé « 200 OK » et a renvoyé un jeton porteur ! C’était excitant, nous générions un jeton et il indexait le VIN arbitraire comme identifiant.
Pour nous assurer que cela n’était pas lié à notre session JWT, nous avons complètement supprimé le paramètre d’autorisation et cela fonctionnait toujours ! pic.twitter.com/zCdCHQfCcY
—Sam Curry (@samwcyo) 30 novembre 2022
Curry a révélé que les constructeurs automobiles avaient autorisé les propriétaires à authentifier les données via une application mobile, telle que l’application Nissan Connected et l’application MyHonda.
« C’est comme si vous aviez un téléphone portable connecté à votre véhicule et que vous pouviez recevoir et envoyer des SMS depuis la voiture pour lui dire quoi faire ou partager l’état de la voiture avec l’expéditeur », a déclaré Curry. Gizmodo. « Dans ce cas, ils ont construit une infrastructure autour de l’envoi/de la réception de ces données et ont permis aux clients de s’authentifier à l’aide d’une forme d’application mobile (que ce soit l’application mobile Nissan Connected ou l’application MyHonda). Une fois que le client était connecté à son compte et que son numéro VIN était associé à son compte, il pouvait accéder à ce pipeline où il pouvait exécuter des commandes et recevoir des données (par exemple, emplacement, vitesse, etc.) de son véhicule.
