Una vulnerabilidad que afecta los servicios de vehículos conectados de Sirius XM podría haber permitido a los piratas iniciar, desbloquear, ubicar, encender las luces y tocar la bocina de los automóviles de forma remota. Sam Curry, ingeniero de seguridad de Yuga Labs, trabajó con un grupo de investigadores de seguridad para descubrir la falla y describió sus hallazgos en un hilo en twitter (a través de gizmodo).
Además de proporcionar una suscripción de radio satelital, Sirius XM también impulsa los sistemas telemáticos y de infoentretenimiento utilizados por varios fabricantes de automóviles, incluidos Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru y Toyota. . Estos sistemas recogen un montón de información sobre su automóvil que es fácil pasar por alto y podría tener implicaciones potenciales para la privacidad. El año pasado, un informe de Vicio llamó la atención sobre una empresa de espionaje que planeaba vender la información de ubicación basada en telemática de más de 15 mil millones de automóviles al gobierno de EE. UU.
Si bien los sistemas telemáticos obtienen datos sobre la ubicación GPS, la velocidad, la navegación paso a paso y los requisitos de mantenimiento de su automóvil, ciertas configuraciones de infoentretenimiento pueden rastrear registros de llamadas, comandos de voz, mensajes de texto y más. Todos estos datos permiten que los vehículos brinden funciones «inteligentes», como detección automática de choques, arranque remoto del motor, alertas de vehículos robados, navegación y la capacidad de bloquear o desbloquear su automóvil de forma remota. Sirius XM ofrece todas estas características y más, y dice más de 12 millones de vehículos en la carretera utilice sus sistemas de vehículos conectados.
Sin embargo, como demuestra Curry, los malos actores pueden aprovechar este sistema si no se implementan las garantías adecuadas. En un comunicado a gizmodo, Curry dice que Sirius XM «creó una infraestructura en torno al envío/recepción de estos datos y permitió a los clientes autenticarse mediante algún tipo de aplicación móvil», como MyHonda o Nissan Connected. Los usuarios pueden iniciar sesión en sus cuentas en estas aplicaciones, que están vinculadas al número VIN de su vehículo, para ejecutar comandos y obtener información sobre sus automóviles.
Es este sistema el que podría dar a los malos acceso al auto de alguien, explica Curry, ya que Sirius XM usa el número VIN vinculado con la cuenta de una persona para transmitir información y comandos entre la aplicación y sus servidores. Al crear una solicitud HTTP para obtener el perfil de un usuario con el VIN, Curry dice que pudo obtener el nombre, el número de teléfono, la dirección y los detalles del automóvil del propietario del vehículo. Luego intentó ejecutar comandos usando el VIN y descubrió que podía controlar el vehículo de forma remota, lo que le permitía bloquearlo o desbloquearlo, encender el automóvil y realizar otras funciones.
Curry dice que alertó a Sirius XM de la falla y que la compañía la reparó rápidamente. En un comunicado a gizmodo, la compañía dijo que la vulnerabilidad “se resolvió dentro de las 24 horas posteriores a la presentación del informe”, y señaló que “en ningún momento se comprometió ningún suscriptor u otros datos ni se modificó ninguna cuenta no autorizada utilizando este método”. Sirius XM no respondió de inmediato a el bordesolicitud de comentarios.
Por separado, Curry descubrió otra falla dentro de las aplicaciones MyHyundai y MyGenesis que también podrían permitir que los piratas informáticos secuestraran un vehículo de forma remota, pero dice que trabajó con el fabricante de automóviles para solucionar el problema. Los hackers de sombrero blanco han encontrado hazañas similares en el pasado. En 2015, un investigador de seguridad descubrió un hack de OnStar eso podría haber permitido a los malos actores ubicar un vehículo de forma remota, desbloquear sus puertas o encender el automóvil. Casi al mismo tiempo, un informe de cableado mostró cómo un Jeep Cherokee podría ser pirateado y controlado de forma remota con alguien al volante.