Сэм Карри — известный эксперт по безопасности, специализирующийся на обнаружении ошибок в ИТ-системах. Некоторое время назад он обнаружил опасные уязвимости в системе безопасности Tesla, а теперь объявил о новом открытии. Его команда нашла способ удаленно брать под контроль автомобили различных производителей. Для этого достаточно было знать VIN-номер данного автомобиля.
Больше интересных автомобильных новостей можно найти на главной странице Gazeta.pl
Карри опубликовал в Твиттере сообщение о том, что эксперты по безопасности уже давно отслеживают уязвимости в автомобилях. В какой-то момент их работа привела их к SiriusXM, который предлагает услуги телеметрии для многих брендов. К производителям, пользующимся услугами этой компании, относятся Honda, Hyundai, Jaguar, Lexus, BMW, Nissan, Toyota .
В ходе анализа данных и обратного проектирования эксперты остановились на домене telematics.net. Просмотрев исходный код и многочасовой поиск уязвимостей безопасности, нам удалось обнаружить запрос, который возвращал токен с доступом к информации об автомобиле. В нем содержалась информация о VIN-номере, имени и фамилии владельца и номере телефона.
Хакеры создали скрипт, который позволял им загружать данные о клиентах, вводя VIN-номер, который отображается на лобовом стекле большинства автомобилей. Дальнейший анализ кода веб-сайта позволил нам легко найти автомобиль и получить доступ к некоторым удаленным функциям, таким как отпирание дверей, звуковой сигнал и даже запуск двигателя.
Сэм Карри и его команда быстро сообщили SiriusXM о проблеме. Судя по всему, уязвимость уже исправлена. Компания выпустила соответствующее обновление безопасности.
раздел>