Uma vulnerabilidade que afeta os serviços de veículos conectados do Sirius XM pode permitir que hackers iniciem, desbloqueiem, localizem, pisquem as luzes e buzinem remotamente. Sam Curry, engenheiro de segurança do Yuga Labs, trabalhou com um grupo de pesquisadores de segurança para descobrir a falha e descreveu suas descobertas em um tópico no Twitter (através da Gizmodo).
Além de fornecer uma assinatura de rádio via satélite, o Sirius XM também alimenta os sistemas de telemática e infoentretenimento usados por vários fabricantes de automóveis, incluindo Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru e Toyota . Esses sistemas coletam muitas informações sobre seu carro que são fáceis de ignorar – e podem representar possíveis implicações de privacidade. No ano passado, um relatório da vício chamou a atenção para uma empresa de espionagem que planejava vender as informações de localização baseadas em telemática de mais de 15 bilhões de carros para o governo dos EUA.
Enquanto os sistemas telemáticos obtêm dados sobre a localização GPS do seu carro, velocidade, navegação passo a passo e requisitos de manutenção, certas configurações de infoentretenimento podem rastrear registros de chamadas, comandos de voz, mensagens de texto e muito mais. Todos esses dados permitem que os veículos forneçam recursos “inteligentes”, como detecção automática de colisão, partida remota do motor, alertas de veículo roubado, navegação e a capacidade de travar ou destravar remotamente o carro. O Sirius XM oferece todos esses recursos e muito mais, e diz que mais de 12 milhões de veículos na estrada usam seus sistemas de veículos conectados.
No entanto, como Curry demonstra, os malfeitores podem tirar proveito desse sistema se as proteções adequadas não estiverem em vigor. Em uma declaração para Gizmodo, Curry diz que a Sirius XM “criou infraestrutura em torno do envio/recebimento desses dados e permitiu que os clientes se autenticassem usando algum tipo de aplicativo móvel”, como MyHonda ou Nissan Connected. Os usuários podem acessar suas contas nesses aplicativos, vinculados ao número VIN de seus veículos, para executar comandos e obter informações sobre seus carros.
É esse sistema que pode dar aos malfeitores acesso ao carro de alguém, explica Curry, já que o Sirius XM usa o número VIN vinculado à conta de uma pessoa para transmitir informações e comandos entre o aplicativo e seus servidores. Ao criar uma solicitação HTTP para buscar o perfil de um usuário com o VIN, Curry diz que conseguiu obter o nome do proprietário do veículo, número de telefone, endereço e detalhes do carro. Ele então tentou executar comandos usando o VIN e descobriu que poderia controlar remotamente o veículo, permitindo trancá-lo ou destrancá-lo, ligar o carro e executar outras funções.
Curry diz que alertou a Sirius XM sobre a falha e que a empresa a corrigiu rapidamente. Em uma declaração para Gizmodo, a empresa disse que a vulnerabilidade “foi resolvida dentro de 24 horas após o envio do relatório”, observando que “em nenhum momento nenhum assinante ou outros dados foram comprometidos, nem nenhuma conta não autorizada foi modificada usando esse método”. Sirius XM não respondeu imediatamente a The Vergepedido de comentário.
Separadamente, Curry descobriu outra falha dentro dos aplicativos MyHyundai e MyGenesis que também podem permitir que hackers sequestrem remotamente um veículo, mas diz que trabalhou com a montadora para corrigir o problema. Os hackers de chapéu branco encontraram façanhas semelhantes no passado. Em 2015, um pesquisador de segurança descobriu um hack OnStar que poderia permitir que pessoas mal-intencionadas localizassem um veículo remotamente, destrancassem suas portas ou ligassem o carro. Na mesma época, um relatório da Com fio mostrou como um Jeep Cherokee pode ser hackeado e controlado remotamente com alguém ao volante.
0 comentários:
Postar um comentário