Хакеры захватили автомобили под контроль. Достаточно было знать VIN номер

"03.12.2022 15:20"

Американские хакеры нашли способ находить и удаленно разблокировать автомобили и даже запускать двигатель. Проблема затронула модели производства Honda, Nissan, Toyota и некоторых брендов, входящих в группу Stellantis.

Американские хакеры нашли способ находить и удаленно разблокировать автомобили и даже запускать двигатель. Проблема затронула модели производства Honda, Nissan, Toyota и некоторых брендов, входящих в группу Stellantis....
Kradzież auta to wci±ż do¶ć powszechny proceder w Polsce. Zdjęcie ilustracyjne, Chayantorn Tongmorn/shutterstock.com

Сэм Карри — известный эксперт по безопасности, специализирующийся на обнаружении ошибок в ИТ-системах. Некоторое время назад он обнаружил опасные уязвимости в системе безопасности Tesla, а теперь объявил о новом открытии. Его команда нашла способ удаленно брать под контроль автомобили различных производителей. Для этого достаточно было знать VIN-номер данного автомобиля.

Больше интересных автомобильных новостей можно найти на главной странице Gazeta.pl

Карри опубликовал в Твиттере сообщение о том, что эксперты по безопасности уже давно отслеживают уязвимости в автомобилях. В какой-то момент их работа привела их к SiriusXM, который предлагает услуги телеметрии для многих брендов. К производителям, пользующимся услугами этой компании, относятся Honda, Hyundai, Jaguar, Lexus, BMW, Nissan, Toyota .

В ходе анализа данных и обратного проектирования эксперты остановились на домене telematics.net. Просмотрев исходный код и многочасовой поиск уязвимостей безопасности, нам удалось обнаружить запрос, который возвращал токен с доступом к информации об автомобиле. В нем содержалась информация о VIN-номере, имени и фамилии владельца и номере телефона.

Хакеры создали скрипт, который позволял им загружать данные о клиентах, вводя VIN-номер, который отображается на лобовом стекле большинства автомобилей. Дальнейший анализ кода веб-сайта позволил нам легко найти автомобиль и получить доступ к некоторым удаленным функциям, таким как отпирание дверей, звуковой сигнал и даже запуск двигателя.

Сэм Карри и его команда быстро сообщили SiriusXM о проблеме. Судя по всему, уязвимость уже исправлена. Компания выпустила соответствующее обновление безопасности.