En la era de los vehículos conectados a Internet, los problemas de seguridad cibernética recientemente descubiertos están redefiniendo lo que significa «robar» un automóvil.
En un experimento reciente de Sam Curry, ingeniero de seguridad del personal de Yuga Labs y hacker autodenominado, su equipo pudo aprovechar una vulnerabilidad en el software Sirius XM para obtener acceso remoto a los vehículos utilizando sus números de identificación de vehículos (VIN) disponibles públicamente. , El borde informa(Se abre en una nueva ventana).
El paraguas de servicios conectados de SiriusXM incluye sistemas de infoentretenimiento y telemáticos(Se abre en una nueva ventana)que utilizan más de 15 OEM, incluidos Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru y Toyota.
Aplicaciones para vehículos como MyHonda o Nissan Connect(Se abre en una nueva ventana) tienen integraciones Sirius XM. Entonces, para el experimento de piratería de Curry, le pidió a un amigo su cuenta Nissan e inició sesión. Esto le dio acceso a la aplicación Nissan para inspeccionar su backend.
Aplicación Nissan Connect (Crédito: Nissan)
Curry notó que el sistema de seguridad tenía una laguna en el inicio de sesión. No requería un nombre de usuario y contraseña únicos para acceder a la cuenta de alguien. En cambio, Curry podría ingresar solo el VIN, que se publica públicamente en el parabrisas de cualquier vehículo.
Luego, el equipo escribió un script de Python que usaba el VIN para ejecutar los comandos del vehículo, lo que les permitía arrancar, desbloquear, ubicar, encender las luces y tocar la bocina en forma remota. Teóricamente, un mal actor podría copiar el VIN de cualquier automóvil en su área, conectarlo al guión y desbloquear el vehículo para robar algo dentro.
También surgió otro riesgo: el programa de Curry accedió a la información privada del cliente, como la dirección, el nombre, el número de teléfono y la latitud/longitud del automóvil. Un pirata informático podría usar esta información de varias maneras, incluido el seguimiento del automóvil regularmente utilizando su latitud y longitud, utilizando su paradero conocido para planificar actividades nefastas en la casa del propietario.
Recomendado por Nuestros Editores
«En este punto, identificamos que también era posible acceder a la información del cliente y ejecutar comandos de vehículos en vehículos Honda, Infiniti y Acura además de Nissan», tuiteó Curry. «Informamos del problema a SiriusXM, quien lo solucionó de inmediato y validó su parche».
«En ningún momento se comprometió ningún suscriptor u otros datos ni se modificó ninguna cuenta no autorizada utilizando este método», le dice un portavoz de Sirius XM a The Verge.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.