Studien zu selbstfahrenden Autos haben einen Sirius XM-Fehler entdeckt, der eine große Sicherheitslücke verursacht.
Laut kürzlich veröffentlichten Forschungsergebnissen waren mehrere bekannte Autohersteller, darunter Honda, Nissan, Infiniti und Acura, anfällig für eine zuvor unbekannte Sicherheitslücke, die es einem intelligenten Hacker ermöglicht haben könnte, Fahrzeuge zu übernehmen und Kundendaten mithilfe eines Satellitenfehlers zu stehlen Radio Sirius XM.
Forscher behaupten, dass ein Fehler in der Sirius XM-Telematikinfrastruktur des Autos es einem Hacker ermöglicht hätte, ein Fahrzeug aus der Ferne zu lokalisieren, es zu entriegeln und zu starten, die Lichter aufleuchten zu lassen, zu hupen, den Kofferraum zu öffnen und auf private Kundeninformationen wie die des Besitzers zuzugreifen Name, Telefonnummer, Adresse und Fahrzeugdaten.
Warum ist der Sirius XM-Fehler gefährlich?
Die Mehrheit der modernen Autos sind im Wesentlichen mit dem Internet verbundene Computer auf Rädern, auch wenn Sie keinen Tesla besitzen. Autos sind durch den Zu- und Abfluss von Fahrzeugdaten oder Telematik handlicher und anpassungsfähiger denn je, aber auch anfälliger für Hackerangriffe und Remote-Hijacking.
Es ist bekannt, dass Autohersteller Fahrzeugdaten an Überwachungsanbieter verkaufen, die dann seltsame Dinge tun, z. B. den Verkauf an Regierungsbehörden, was den Telematiksektor zu einem enormen Datenschutzrisiko macht.
Der Fehler wurde von einem Team von Sicherheitsexperten gefunden, die sich mit Problemen befassten, an denen bedeutende Autohersteller beteiligt waren. Sam Curry, ein 22-jähriger Cybersicherheitsspezialist, der Mitglied des Forschungsteams ist, sagte, dass er und seine Kumpels an den Problemen interessiert seien, die sich ergeben würden, wenn sie sich mit den Anbietern sogenannter „Telematikdienste“ befassen würden “ für Autohersteller.
Sirius XM Fehler erklärt
Curry und seine Kollegen fanden einen Authentifizierungsfehler in der Sirius XM-Infrastruktur, nachdem sie im Code herumgegraben hatten, der mit mehreren Automobil-Apps verbunden war. Die Infotainmentsysteme in den meisten Autos enthalten Sirius, das den meisten Autoherstellern zugehörige Telematikdienste anbietet.
Laut Curry ist Sirius XM ein gemeinsames Merkmal in Fahrzeugen, und über den Fehler erklärte er Folgendes:
“, gebündelt mit dem Infotainmentsystem, das Aktionen am Fahrzeug ausführen kann und über Satellit mit dem Internet an die SiriusXM-API kommuniziert. Es ist, als ob Sie ein Mobiltelefon mit Ihrem Fahrzeug verbunden hätten und Textnachrichten vom Auto empfangen und senden könnten, die ihm mitteilen, was zu tun ist, oder den Zustand des Autos an den Absender zurückgeben.“
„In diesem Fall bauten sie eine Infrastruktur rund um das Senden/Empfangen dieser Daten auf und ermöglichten es den Kunden, sich dafür mit einer Art mobiler App zu authentifizieren (sei es die mobile Nissan Connected-App oder die MyHonda-App). Sobald der Kunde bei seinem Konto angemeldet war und seinem Konto seine VIN-Nummer zugeordnet war, konnte er auf diese Pipeline zugreifen, wo er Befehle ausführen und Daten (z. B. Standort, Geschwindigkeit usw.) von seinem Fahrzeug empfangen konnte.“
– Sam Curry, Spezialist für Cybersicherheit
Einzelne Fahrzeuge senden und empfangen Befehle und Daten an Sirius, was bedeutet, dass Informationen unter den richtigen Umständen abgefangen werden können. Curry fügte hinzu, dass ein Cyberkrimineller die Kontrolle über das Fahrzeug und die mit dem Kundenkonto verknüpften Daten übernommen haben könnte, indem er eine Authentifizierungsschwäche des Sirius XM-Systems ausgenutzt hat.
Sie können weitere Details und Gefahren über den Sirius XM-Fehler aus Sam Currys Tweet entnehmen, den er auf seinem geteilt hat @samwcyo Konto.
Mehr Auto-Hacking!
Anfang dieses Jahres konnten wir alle fernverbundenen Honda-, Nissan-, Infiniti- und Acura-Fahrzeuge aus der Ferne entriegeln, starten, lokalisieren, flashen und hupen, völlig unbefugt, da wir nur die VIN-Nummer des Autos kannten.
So haben wir es gefunden und wie es funktioniert: pic.twitter.com/ul3A4sT47k
– Sam Curry (@samwcyo) 30. November 2022
Als Sirius XM um einen Kommentar gebeten wurde, erkannten sie das Problem und gaben die folgende Antwort:
„Ein Sicherheitsforscher hat a [bug bounty] Meldung eines Autorisierungsfehlers an die Connected Vehicle Services von Sirius XM, der sich auf ein bestimmtes Telematikprogramm auswirkt. Das Problem wurde innerhalb von 24 Stunden nach Übermittlung des Berichts behoben. Zu keinem Zeitpunkt wurden Abonnenten- oder andere Daten kompromittiert oder ein nicht autorisiertes Konto mit dieser Methode modifiziert.“
– Sirius XM
Das deckt alles für die Sicherheitslücke des Sirius XM-Fehlers ab. Um zu überprüfen, ob Ihr Auto über Sirius XM verfügt, können Sie dies überprüfen offizielle Website des Unternehmens.
Interessieren Sie sich für Cybersicherheit? Sehen Sie sich unsere anderen Artikel mit Titeln wie Cloud under attack: GoTo Data Breach wirkte sich letztendlich auf LastPass oder TikTok Invisible Body Challenge aus, die von Hackern von hier aus ausgenutzt wurden.
Source: Ein Sirius XM-Bug führt dazu, dass Autos entführt werden