دراسة تثبت سهولة سرقة سيارات هوندا ونيسان وإنفينيتي وأكورا عن بُعد
- تاريخ النشر: الأحد، 04 ديسمبر 2022
من خلال SiriusXM
- مقالات ذات صلة
- هوندا وأكورا توسعان برامج السيارات المستعملة المعتمدة
- استدعاء ما يقرب من 250 ألف سيارة هوندا وأكورا لهذا السبب!
- الولايات المتحدة تحقق في عطل 1.4 مليون سيارة هوندا وأكورا
تم إجبار Sirius XM على إصلاح عيب أمني سمح للمتسللين بإلغاء قفل أي طرازات هوندا ونيسان وإنفينيتي وأكورا وبدء تشغيلها وتحديد موقعها وفلاشها وإطلاقها عن بُعد.
كشف مخترق شهير اسمه سام كاري مؤخرًا عن ثغرة أمنية وقام بتفصيل العملية في سلسلة من التغريدات.
فيديو ذات صلة
This browser does not support the video element.
بعد العثور على مجموعة من نقاط الضعف التي تؤثر على شركات السيارات المختلفة ، بدأ كاري وفريقه في البحث عن خدمة كانت تقدم خدمات عن بعد لجميعهم.
واكتشفت أنه تم استخدام SiriusXM في جميع المركبات المتأثرة ثم تم تحديده من خلال استخدام تطبيق NissanConnect أنه من الممكن فحص وتعديل رمز HTTP.
تم اكتشاف أن SiriusXM كانت تستخدم رقم VIN الخاص بالمركبة لتفويض الأوامر وجلب ملفات تعريف المستخدمين.
كما كشف المتسللون عن أسماء المالكين وأرقام الهواتف والعناوين وتفاصيل السيارة وتمكنوا أيضًا من تشغيل أوامر السيارة ببساطة من خلال معرفة رقم VIN للسيارة.
بعد فترة وجيزة من اكتشاف الثغرة الأمنية ، أبلغ كاري وفريقه عن المشكلة إلى SiriusXM الذي قام بتصحيحها بسرعة.
قال متحدث باسم Sirius XM Connected Vehicle Services لموقع The Register: "إننا نأخذ أمان حسابات عملائنا على محمل الجد ونشارك في برنامج مكافأة الأخطاء للمساعدة في تحديد وتصحيح العيوب الأمنية المحتملة التي تؤثر على منصاتنا".
"كجزء من هذا العمل ، قدم باحث أمني تقريرًا إلى خدمات المركبات المتصلة بشركة Sirius XM بشأن عيب في التفويض يؤثر على برنامج اتصالات عن بُعد محدد. تم حل المشكلة في غضون 24 ساعة بعد تقديم التقرير. لم يتم اختراق أي مشترك أو أي بيانات أخرى في أي وقت ولم يتم تعديل أي حساب غير مصرح به باستخدام هذه الطريقة ".
كشف كاري أن مصنعي السيارات سمحوا للمالكين بمصادقة البيانات من خلال تطبيق جوال ، مثل تطبيق Nissan Connected وتطبيق MyHonda.
قال كاري لـ Gizmodo: "يبدو الأمر كما لو كان لديك هاتف محمول متصل بسيارتك ويمكن أن تتلقى وترسل رسائل نصية من السيارة تخبرها بما يجب أن تفعله أو تشارك حالة السيارة مع المرسل".
"في هذه الحالة ، قاموا ببناء بنية تحتية حول إرسال / استلام هذه البيانات وسمحوا للعملاء بالمصادقة عليها باستخدام شكل من أشكال تطبيقات الجوال (سواء كان تطبيق Nissan Connected للجوال أو تطبيق MyHonda). بمجرد تسجيل العميل الدخول إلى حسابه وإرفاق رقم VIN بحسابه به ، يمكنه الوصول إلى خط الأنابيب هذا حيث يمكنهم تشغيل الأوامر وتلقي البيانات (مثل الموقع والسرعة وما إلى ذلك) من سيارتهم ".