Hacker nutzt Sirius-XM-Fehler aus, um Autos per Fernzugriff zu entsperren und zu hupen

Im Zeitalter der mit dem Internet verbundenen Fahrzeuge definieren neu entdeckte Cybersicherheitsprobleme neu, was es bedeutet, ein Auto zu „stehlen“.

In einem aktuellen Experiment von Sam Curry, einem Sicherheitsingenieur bei Yuga Labs und selbsternannten Hacker, konnte sein Team eine Schwachstelle in der Sirius , The Verge berichtet(Öffnet in einem neuen Fenster).

Das Dach der SiriusXM Connected Services umfasst Infotainment- und Telematiksysteme (öffnet sich in einem neuen Fenster), die von über 15 OEMs verwendet werden, darunterAcura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru und Toyota.

Fahrzeuganwendungen wie MyHonda oder Nissan Connect (öffnet sich in einem neuen Fenster) verfügen über Sirius XM-Integrationen. Für Currys Hacking-Experiment fragte er einen Freund nach seinem Nissan-Konto und loggte sich ein. Dadurch erhielt er Zugriff auf die Nissan-App, um deren Backend zu überprüfen.

Curry bemerkte, dass das Sicherheitssystem eine Anmeldelücke aufwies. Für den Zugriff auf das Konto einer anderen Person waren kein eindeutiger Benutzername und kein eindeutiges Passwort erforderlich. Stattdessen könnte Curry einfach die Fahrgestellnummer eingeben, die öffentlich an der Windschutzscheibe jedes Fahrzeugs angebracht ist.

Anschließend schrieb das Team ein Python-Skript, das mithilfe der Fahrgestellnummer Fahrzeugbefehle ausführte und es so ermöglichte, das Auto aus der Ferne zu starten, zu entriegeln, zu lokalisieren, die Lichter aufleuchten zu lassen und zu hupen. Theoretisch könnte ein Krimineller die Fahrgestellnummer eines beliebigen Autos in seiner Nähe kopieren, sie in das Skript einbinden und das Fahrzeug aufschließen, um etwas darin zu stehlen.

Außerdem tauchte ein weiteres Risiko auf: Currys Programm griff auf private Kundeninformationen wie Adresse, Name, Telefonnummer und Breiten-/Längengrad des Autos zu. Ein Hacker könnte diese Informationen auf vielfältige Weise nutzen, beispielsweise indem er das Auto regelmäßig anhand seines Breiten- und Längengrads verfolgt und seinen bekannten Aufenthaltsort nutzt, um schändliche Aktivitäten im Haus des Besitzers zu planen.

„Zu diesem Zeitpunkt stellten wir fest, dass es neben Nissan auch möglich war, auf Kundeninformationen zuzugreifen und Fahrzeugbefehle für Honda-, Infiniti- und Acura-Fahrzeuge auszuführen“, twitterte Curry. „Wir haben das Problem SiriusXM gemeldet, das es sofort behoben und den Patch validiert hat.“

„Zu keinem Zeitpunkt wurden mit dieser Methode Abonnenten- oder andere Daten kompromittiert oder ein nicht autorisiertes Konto geändert“, sagt ein Sprecher von Sirius XM gegenüber The Verge.

Melden Sie sich bei SecurityWatch anNewsletter mit unseren Top-Geschichten zum Thema Datenschutz und Sicherheit direkt in Ihren Posteingang.

Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Wenn Sie einen Newsletter abonnieren, erklären Sie sich mit unseren Nutzungsbedingungen und Datenschutzrichtlinien einverstanden. Sie können den Newsletter jederzeit abbestellen.

Ihr Abonnement wurde bestätigt. Behalten Sie Ihren Posteingang im Auge!