Una falla bastante extrana en el codigo de SiriusXM podria

Secondo quanto riferito, un difetto nel codice che consentiva ai criminali di rubare auto su Internet è stato corretto e i proprietari sono stati invitati ad aggiornare immediatamente i loro sistemi.

La falla è stata trovata in Connected Vehicle Services, un pacchetto software che offre una serie di funzionalità come notifiche automatiche in caso di incidente, assistenza stradale avanzata, sblocco remoto delle porte, avvio remoto, recupero del veicolo rubato, navigazione turn-by-turn e integrazione della casa intelligente . dispositivi.

I servizi per i veicoli connessi sono realizzati da SiriusXM e sono utilizzati da una serie di case automobilistiche, tra cui Honda, Nissan, Infiniti e Acura, tutte vulnerabili.

VIN per l'autorizzazione

Il difetto è stato reso pubblico dal ricercatore di sicurezza di Yuga Labs Sam Curry, abituato a trovare difetti di sicurezza nelle auto. In un thread di Twitter (si apre in una nuova scheda), Curry ha spiegato come funziona il difetto, aggiungendo che SiriusXM lo ha già corretto.

Il problema sarebbe stato causato dalla piattaforma telematica che utilizzava il numero di identificazione del veicolo (VIN) dell'auto, spesso presente sul parabrezza, per autorizzare i comandi e inserire i profili degli utenti.

Ciò significa che chiunque conosca il numero VIN può impartire a distanza una serie di comandi, dall'apertura delle portiere all'avviamento del motore.

In risposta alle scoperte di The Register, il portavoce dell'azienda ha affermato che SiriusXM era stato informato attraverso il suo programma di caccia alle taglie.

"Prendiamo sul serio la sicurezza degli account dei nostri clienti e partecipiamo a un programma di bug bounty per aiutare a identificare e correggere potenziali vulnerabilità di sicurezza che interessano le nostre piattaforme", afferma la dichiarazione.

“Come parte di questo lavoro, un ricercatore di sicurezza ha presentato un rapporto a Sirius XM Connected Vehicle Services su una violazione delle autorizzazioni che riguarda uno specifico programma telematico. Il problema è stato risolto entro 24 ore dall'invio della segnalazione. Nessun utente o altri dati sono mai stati compromessi e nessun account non autorizzato è stato modificato utilizzando questo metodo."

Via: Il Registro (si apre in una nuova scheda)

Condividi questo