Hacker explota falla de Sirius XM para desbloquear de forma remota y tocar la bocina en los autos

En la era de los vehículos conectados a Internet, los problemas de seguridad cibernética recientemente descubiertos están redefiniendo lo que significa "robar" un automóvil.

En un experimento reciente de Sam Curry, ingeniero de seguridad del personal de Yuga Labs y hacker autodenominado, su equipo pudo aprovechar una vulnerabilidad en el software Sirius XM para obtener acceso remoto a los vehículos utilizando sus números de identificación de vehículos (VIN) disponibles públicamente. , The Verge informa (Se abre en una ventana nueva).

El paraguas de servicios conectados de SiriusXM incluye sistemas telemáticos y de información y entretenimiento (se abre en una ventana nueva), que utilizan más de 15 OEM, incluidosAcura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru y Toyota.

Las aplicaciones de vehículos como MyHonda o Nissan Connect(Opens in a new window) tienen integraciones con Sirius XM. Entonces, para el experimento de piratería de Curry, le pidió a un amigo su cuenta Nissan e inició sesión. Esto le dio acceso a la aplicación Nissan para inspeccionar su backend.

Curry notó que el sistema de seguridad tenía una laguna en el inicio de sesión. No requería un nombre de usuario y contraseña únicos para acceder a la cuenta de alguien. En cambio, Curry podría ingresar solo el VIN, que se publica públicamente en el parabrisas de cualquier vehículo.

Luego, el equipo escribió un script de Python que usaba el VIN para ejecutar los comandos del vehículo, lo que les permitía arrancar, desbloquear, ubicar, encender las luces y tocar la bocina en forma remota. Teóricamente, un mal actor podría copiar el VIN de cualquier automóvil en su área, conectarlo al guión y desbloquear el vehículo para robar algo dentro.

También surgió otro riesgo: el programa de Curry accedió a la información privada del cliente, como la dirección, el nombre, el número de teléfono y la latitud/longitud del automóvil. Un pirata informático podría usar esta información de varias maneras, incluido el seguimiento del automóvil regularmente utilizando su latitud y longitud, utilizando su paradero conocido para planificar actividades nefastas en la casa del propietario.

"En este punto, identificamos que también era posible acceder a la información del cliente y ejecutar comandos de vehículos en vehículos Honda, Infiniti y Acura además de Nissan", tuiteó Curry. "Informamos del problema a SiriusXM, quien lo solucionó de inmediato y validó su parche".

"En ningún momento se comprometió ningún suscriptor u otros datos ni se modificó ninguna cuenta no autorizada utilizando este método", le dice un portavoz de Sirius XM a The Verge.

Regístrese en Vigilancia de seguridadboletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.

Su suscripción ha sido confirmada. ¡Mantén un ojo en tu bandeja de entrada!