Une faille plutôt étrange dans le code SiriusXM pourrait déverrouiller votre véhicule intelligent

Une faille plutôt étrange dans le code SiriusXM pourrait déverrouiller votre véhicule intelligent

Une faille dans le code qui permettait aux criminels de voler des voitures sur Internet aurait maintenant été corrigée, et les propriétaires ont été invités à mettre à jour leurs systèmes immédiatement.

La faille a été trouvée dans Connected Vehicle Services, un progiciel qui offre une multitude de fonctionnalités telles que les notifications automatiques d'accident, l'assistance routière améliorée, le déverrouillage des portes à distance, le démarrage à distance, la récupération de véhicule volé, la navigation pas à pas et l'intégration de la maison intelligente. . dispositifs.

Les services de véhicules connectés sont construits par SiriusXM et sont utilisés par une multitude de constructeurs automobiles, dont Honda, Nissan, Infiniti et Acura, qui étaient tous vulnérables.

VIN pour autorisation

La faille a été rendue publique par le chercheur en sécurité de Yuga Labs, Sam Curry, habitué à trouver des failles de sécurité dans les voitures. Dans un fil Twitter (s'ouvre dans un nouvel onglet), Curry a expliqué le fonctionnement de la faille, ajoutant que SiriusXM l'avait déjà corrigée.

Le problème aurait été causé par la plate-forme télématique utilisant le numéro d'identification du véhicule (VIN) de la voiture, souvent inscrit sur le pare-brise, pour autoriser les commandes et saisir les profils des utilisateurs.

Cela signifie que toute personne connaissant le numéro VIN peut émettre à distance une série de commandes, du déverrouillage des portes au démarrage du moteur.

En réponse aux conclusions de The Register, le porte-parole de la société a déclaré que SiriusXM avait été averti par le biais de son programme de chasse aux primes.

"Nous prenons au sérieux la sécurité des comptes de nos clients et participons à un programme de primes de bogues pour aider à identifier et à corriger les vulnérabilités de sécurité potentielles affectant nos plateformes", indique le communiqué.

« Dans le cadre de ce travail, un chercheur en sécurité a soumis un rapport à Sirius XM Connected Vehicle Services concernant une violation des autorisations affectant un programme télématique spécifique. Le problème a été résolu dans les 24 heures suivant la soumission du rapport. À aucun moment, aucun abonné ou autre donnée n'a été compromis et aucun compte non autorisé n'a été modifié à l'aide de cette méthode."

Via : Le registre (Ouvre dans un nouvel onglet)