Des études sur les voitures autonomes ont découvert un bogue Sirius XM qui provoque une énorme faille de sécurité.
Selon des recherches récemment publiées, plusieurs constructeurs automobiles bien connus, dont Honda, Nissan, Infiniti et Acura, étaient vulnérables à une faille de sécurité jusque-là inconnue qui aurait pu permettre à un pirate intelligent de prendre le contrôle de véhicules et de voler les données des clients à l’aide d’un bogue dans le satellite. radio SiriusXM.
Les chercheurs affirment qu’un bogue dans l’infrastructure télématique Sirius XM de la voiture aurait permis à un pirate informatique de localiser à distance un véhicule, de le déverrouiller et de le démarrer, de faire clignoter les phares, de klaxonner, d’ouvrir le coffre et d’accéder aux informations privées des clients comme celles du propriétaire. nom, numéro de téléphone, adresse et détails du véhicule.
Pourquoi le bug Sirius XM est-il dangereux ?
La majorité des automobiles contemporaines sont essentiellement des ordinateurs sur roues connectés au Web, même si vous ne possédez pas de Tesla. Les voitures sont plus pratiques et adaptables que jamais grâce à l’afflux et à la sortie de données de véhicule ou de télématique, mais elles sont également plus sensibles aux attaques de pirates et aux détournements à distance.
Les constructeurs automobiles sont connus pour vendre des données de véhicules à des fournisseurs de surveillance, qui font ensuite des choses étranges comme les vendre à des agences gouvernementales, faisant du secteur de la télématique un énorme risque pour la vie privée.
La faille a été découverte par une équipe d’experts en sécurité qui examinaient des problèmes impliquant d’importants constructeurs automobiles. Sam Curry, un spécialiste de la cybersécurité de 22 ans qui est membre de l’équipe de recherche, a déclaré que lui et ses copains étaient intéressés par le genre de problèmes qui se poseraient s’ils enquêtaient sur les fournisseurs de soi-disant “services télématiques”. » pour les constructeurs automobiles.
Explication du bogue Sirius XM
Curry et ses collègues ont trouvé une faille d’authentification dans l’infrastructure Sirius XM après avoir fouillé dans le code connecté à plusieurs applications automobiles. Les systèmes d’infodivertissement de la plupart des voitures contiennent Sirius, qui offre des services télématiques associés à la plupart des constructeurs automobiles.
Selon Curry, Sirius XM est une caractéristique commune dans les véhicules, et à propos de la faille, il a déclaré que :
“, fourni avec le système d’infodivertissement qui a la capacité d’effectuer des actions sur le véhicule et communique via satellite à Internet à l’API SiriusXM. C’est comme si vous aviez un téléphone portable connecté à votre véhicule et que vous pouviez recevoir et envoyer des messages texte de la voiture lui disant quoi faire ou partager l’état de la voiture avec l’expéditeur.
“Dans ce cas, ils ont construit une infrastructure autour de l’envoi/de la réception de ces données et ont permis aux clients de s’y authentifier à l’aide d’une forme d’application mobile (que ce soit l’application mobile Nissan Connected ou l’application MyHonda). Une fois que le client était connecté à son compte et que son numéro VIN était associé à son compte, il pouvait accéder à ce pipeline où il pouvait exécuter des commandes et recevoir des données (par exemple, emplacement, vitesse, etc.) de son véhicule.
– Sam Curry, spécialiste de la cybersécurité
Des véhicules individuels envoient et reçoivent des commandes et des données à Sirius, ce qui signifie que dans les bonnes circonstances, des informations peuvent être interceptées. Curry a ajouté qu’un cybercriminel aurait pu prendre le contrôle du véhicule et des données liées au compte client en profitant d’une faiblesse d’authentification du système Sirius XM.
Vous pouvez consulter plus de détails et de dangers sur le bogue Sirius XM à partir du tweet de Sam Curry qu’il a partagé sur son @samwcyo Compte.
Plus de piratage de voitures !
Plus tôt cette année, nous avons pu déverrouiller, démarrer, localiser, flasher et klaxonner à distance tous les véhicules Honda, Nissan, Infiniti et Acura connectés à distance, totalement non autorisés, ne connaissant que le numéro VIN de la voiture.
Voici comment nous l’avons trouvé et comment cela fonctionne : pic.twitter.com/ul3A4sT47k
—Sam Curry (@samwcyo) 30 novembre 2022
Lorsque Sirius XM a été contacté pour un commentaire, ils ont reconnu le problème et ont donné la réponse suivante :
« Un chercheur en sécurité a soumis une [bug bounty] signaler aux services de véhicules connectés de Sirius XM un défaut d’autorisation affectant un programme télématique spécifique. Le problème a été résolu dans les 24 heures suivant la soumission du rapport. À aucun moment, aucun abonné ou autre donnée n’a été compromis et aucun compte non autorisé n’a été modifié à l’aide de cette méthode.
-Sirius XM
Cela couvre tout pour la faille de sécurité du bogue Sirius XM. Pour vérifier si votre voiture est équipée de Sirius XM, vous pouvez vérifier le site officiel de l’entreprise.
La cybersécurité vous intéresse ? Consultez nos autres articles intitulés tels que Cloud sous attaque : la violation de données GoTo a fini par affecter LastPass ou TikTok Défi du corps invisible exploité par des pirates d’ici.
Source: Un bug de Sirius XM provoque le détournement de voitures
