Исследователь рассказал, как взломать японские автомобили

автомобиль Hyundai Honda взлом Сэм Карри SiriusXM
Исследователь рассказал, как взломать японские автомобили
автомобиль Hyundai Honda взлом Сэм Карри SiriusXM

Уязвимость позволяет вскрыть «японку».

image

Исследователь кибербезопасности Сэм Карри обнаружил уязвимость, которая позволяет проводить кибератаки на автомобили Honda, Nissan, Infiniti и Acura через службу подключенных транспортных средств, предоставляемую компанией SiriusXM.

По словам эксперта кибербезопасности Сэма Карри, эта проблема может быть использована для:

  • разблокировки дверей;
  • запуска двигателя;
  • обнаружения автомобиля;
  • подачи сигнала автомобилю.

Более того, для всех этих действий достаточно знать VIN-номер автомобиля.

Услугами SiriusXM Connected Vehicles пользуются более 10 млн. автомобилей в Северной Америке, включая Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru и Toyota.

Система по обеспечению безопасности предоставляет следующие функции, среди прочих:

  • автоматическое уведомление о столкновении;
  • удаленное отпирание дверей,
  • удаленный запуск двигателя,
  • помощь в поиске угнанного автомобиля
  • интеграция автомобиля с системой «умный дом» и др.

Уязвимость связана с ошибкой авторизации в телематической программе, которая позволяет получать личные данные жертвы, а также выполнять команды на автомобиле путем отправки на конечную точку SiriusXM («telematics.net») специально созданного HTTP-запроса, содержащего VIN-номер.

Также Карри описал отдельную уязвимость, затрагивающую автомобили Hyundai и Genesis, которая с помощью зарегистрированных адресов электронной почты позволяет удаленно управлять замками, двигателем, фарами и багажниками автомобилей, выпущенных после 2012 года.

Путем обратной разработки приложений MyHyundai и MyGenesis и проверки API-трафика исследователи нашли способ обойти этап проверки электронной почты и удаленно захватить контроль над функциями целевого автомобиля. «Добавив символ CRLF в конце уже существующего email-адреса жертвы во время регистрации, мы смогли создать учетную запись, которая обошла проверку сравнения параметров JWT и электронной почты», — пояснил Карри.


На данный момент SiriusXM и Hyundai выпустили исправления для устранения недостатков.

Недавно издание Forbes рассказало, что федеральные правоохранительные органы вместе с иммиграционной и пограничной службами используют технологии, которые с помощью уязвимостей в медиасистемах извлекают данные из 10 000 различных моделей автомобилей. В 2022 году сотрудники иммиграционных служб и полицейские всё чаще стали собирать улики таким способом – иногда это даёт больше информации, чем телефон преступника.