- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 7ч 36м
- Сделки
- 251
- Нарушения
- 0 / 0
По словам эксперта кибербезопасности Сэма Карри, эта проблема может быть использована для:
- разблокировки дверей;
- запуска двигателя;
- обнаружения автомобиля;
- подачи сигнала автомобилю.
Услугами SiriusXM Connected Vehicles пользуются более 10 млн. автомобилей в Северной Америке, включая Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru и Toyota.
Система по обеспечению безопасности предоставляет следующие функции, среди прочих:
- автоматическое уведомление о столкновении;
- удаленное отпирание дверей,
- удаленный запуск двигателя,
- помощь в поиске угнанного автомобиля
- интеграция автомобиля с системой «умный дом» и др.
Также Карри описал отдельную уязвимость, затрагивающую автомобили Hyundai и Genesis, которая с помощью зарегистрированных адресов электронной почты позволяет удаленно управлять замками, двигателем, фарами и багажниками автомобилей, выпущенных после 2012 года.
Путем обратной разработки приложений MyHyundai и MyGenesis и проверки API-трафика исследователи нашли способ обойти этап проверки электронной почты и удаленно захватить контроль над функциями целевого автомобиля. «Добавив символ CRLF в конце уже существующего email-адреса жертвы во время регистрации, мы смогли создать учетную запись, которая обошла проверку сравнения параметров JWT и электронной почты», — пояснил Карри.
На данный момент SiriusXM и Hyundai выпустили исправления для устранения недостатков.
