Una falla en el código que permitía a los delincuentes robar autos a través de Internet ahora se solucionó, según los informes, y se instó a los propietarios a actualizar sus sistemas de inmediato.
La falla se encontró en Connected Vehicle Services, un paquete de software que ofrece una gran cantidad de funciones, como notificaciones automáticas de accidentes, asistencia en carretera mejorada, desbloqueo remoto de puertas, arranque remoto, asistencia para la recuperación de vehículos robados, navegación paso a paso e integración con el hogar inteligente. dispositivos.
Connected Vehicle Services está construido por SiriusXM y es utilizado por una gran cantidad de fabricantes de automóviles, incluidos Honda, Nissan, Infiniti y Acura, todos los cuales eran vulnerables.
VIN para autorización
La falla fue hecha pública por el investigador de seguridad de Yuga Labs, Sam Curry, quien tiene un historial en la búsqueda de fallas de seguridad en automóviles. En un hilo de twitter (se abre en una pestaña nueva)Curry explicó cómo funciona la falla y agregó que SiriusXM ya la arregló.
Aparentemente, el problema se originó en el hecho de que la plataforma telemática utiliza el Número de identificación del vehículo (VIN) del automóvil, que a menudo se encuentra en el parabrisas, para autorizar comandos y capturar perfiles de usuarios.
Esto significa que quien conoce el número VIN puede emitir una serie de comandos de forma remota, desde desbloquear las puertas hasta arrancar el motor.
Respondiendo a los hallazgos en El registroel portavoz de la compañía dijo que SiriusXM recibió un aviso a través de su programa de cazarrecompensas
«Nos tomamos en serio la seguridad de las cuentas de nuestros clientes y participamos en un programa de recompensas por errores para ayudar a identificar y corregir posibles fallas de seguridad que afectan nuestras plataformas», se lee en el comunicado.
“Como parte de este trabajo, un investigador de seguridad envió un informe a los Servicios de vehículos conectados de Sirius XM sobre una falla de autorización que afectaba un programa telemático específico. El problema se resolvió dentro de las 24 horas posteriores a la presentación del informe. En ningún momento se comprometió ningún suscriptor u otros datos ni se modificó ninguna cuenta no autorizada utilizando este método».
Vía: El Registro (se abre en una pestaña nueva)