Studiuesi i sigurisë Sam Curry gjeti një shfrytëzim që ndikonte në sistemet telematike dhe info-argëtuese të mundësuar nga Sirius XM. Curry thotë se kompania që atëherë e ka rregulluar problemin.
Një dobësi që prek shërbimet e lidhura të automjeteve të Sirius XM mund t’i lejojë hakerat të nisin, zhbllokojnë, lokalizojnë, ndezin dritat dhe t’i binin borisë makinat nga distanca. Sam Curry, një inxhinier sigurie në Yuga Labs, punoi me një grup studiuesish të sigurisë për të zbuluar të metën dhe përshkroi gjetjet e tyre në një temë në Twitter (nëpërmjet Gizmodo).
Përveç ofrimit të një abonimi në radio satelitore, Sirius XM fuqizon gjithashtu sistemet telematike dhe info-argëtuese të përdorura nga një numër prodhuesish makinash, duke përfshirë Acura, BMW, Honda, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru dhe Toyota. Këto sisteme mbledhin shumë informacione për makinën tuaj, të cilat janë të lehta për t’u anashkaluar – dhe mund të paraqesin implikime të mundshme të privatësisë. Vitin e kaluar, një raport nga Vice tërhoqi vëmendjen te një firmë spiune që planifikoi t’i shiste qeverisë amerikane informacionin e vendndodhjes së bazuar në telematikë të mbi 15 miliardë makinave.
More car hacking!
— Sam Curry (@samwcyo) November 30, 2022
Earlier this year, we were able to remotely unlock, start, locate, flash, and honk any remotely connected Honda, Nissan, Infiniti, and Acura vehicles, completely unauthorized, knowing only the VIN number of the car.
Here's how we found it, and how it works: pic.twitter.com/ul3A4sT47k
Ndërsa sistemet telematike marrin të dhëna për vendndodhjen GPS të makinës suaj, shpejtësinë, navigimin kthesë pas kthese dhe kërkesat e mirëmbajtjes, disa konfigurime të informacionit argëtues mund të gjurmojnë regjistrat e telefonatave, komandat zanore, mesazhet me tekst dhe më shumë. Të gjitha këto të dhëna i lejojnë automjetet të ofrojnë veçori “të zgjuara”, si zbulimi automatik i përplasjes, fillimi i motorit në distancë, sinjalizimet e vjedhura të automjeteve, navigimi dhe aftësia për të kyçur ose zhbllokuar nga distanca makinën tuaj. Sirius XM ofron të gjitha këto veçori dhe më shumë, dhe thotë se mbi 12 milionë automjete në rrugë përdorin sistemet e tij të lidhura të automjeteve.
Megjithatë, siç tregon Curry, aktorët e këqij mund të përfitojnë nga ky sistem nëse nuk ekzistojnë masat e duhura mbrojtëse. Në një deklaratë për Gizmodo, Curry thotë se Sirius XM “ndërtoi infrastrukturën rreth dërgimit/marrjes së këtyre të dhënave dhe i lejoi klientët të vërtetonin ato duke përdorur një formë të aplikacionit celular”, si MyHonda ose Nissan Connected. Përdoruesit mund të hyjnë në llogaritë e tyre në këto aplikacione, të cilat janë të lidhura me numrin VIN të automjetit të tyre, për të ekzekutuar komanda dhe për të marrë informacione për makinat e tyre.
Është ky sistem që mund t’u japë aktorëve të këqij akses në makinën e dikujt, shpjegon Curry, pasi Sirius XM përdor numrin VIN të lidhur me llogarinë e një personi për të transmetuar informacione dhe komanda midis aplikacionit dhe serverëve të tij. Duke krijuar një kërkesë HTTP për të marrë profilin e një përdoruesi me VIN, Curry thotë se ishte në gjendje të merrte emrin, numrin e telefonit, adresën dhe detajet e makinës së pronarit të automjetit. Më pas ai u përpoq të ekzekutonte komanda duke përdorur VIN dhe zbuloi se mund ta kontrollonte automjetin nga distanca, duke e lejuar atë ta mbyllte ose zhbllokonte, të ndizte makinën dhe të kryente funksione të tjera.
Curry thotë se ai paralajmëroi Sirius XM për defektin dhe se kompania e rregulloi shpejt atë. Në një deklaratë, zëdhënësi i kompanisë Lynnsey Ross tha se dobësia “u zgjidh brenda 24 orëve pas dorëzimit të raportit”, duke shtuar se “në asnjë moment nuk u rrezikua asnjë pajtimtar ose të dhëna të tjera dhe as nuk u modifikua ndonjë llogari e paautorizuar duke përdorur këtë metodë”.
Më vete, Curry zbuloi një defekt tjetër brenda aplikacioneve MyHyundai dhe MyGenesis që gjithashtu mund t’i lejojë hakerët të rrëmbejnë nga distanca një automjet, por thotë se ka punuar me prodhuesin e automjeteve për të rregulluar problemin. Në një deklaratë të ndarë me The Verge nga zëdhënësi i Hyundai, Ira Gabriel, kompania konfirmoi se “Hyundai punoi me zell me konsulentët e palëve të treta për të hetuar cenueshmërinë e supozuar sapo studiuesit e sollën atë në vëmendjen tonë”. Ai gjithashtu vë në dukje se “asnjë automjet apo llogari klientësh – qoftë për Hyundai apo Genesis – nuk u aksesua nga të tjerët si rezultat i çështjeve të ngritura nga studiuesit” dhe e bën të qartë se automjetet e tij nuk u prekën nga dobësia e Sirius XM.
Hakerat e kapelave të bardha kanë gjetur shfrytëzime të ngjashme në të kaluarën. Në vitin 2015, një studiues sigurie zbuloi një hak në OnStar që mund t’i lejonte aktorët e këqij të lokalizonin një automjet nga distanca, të zhbllokonin dyert e tij ose të nisnin makinën. Në të njëjtën kohë, një raport nga Wired tregoi se si një Jeep Cherokee mund të hakohej nga distanca dhe të kontrollohej me dikë në timon.
