มีรายงานว่าข้อบกพร่องในโค้ดที่อนุญาตให้อาชญากรขโมยรถทางอินเทอร์เน็ตได้รับการแก้ไขแล้ว และขอให้เจ้าของรถปรับปรุงระบบทันที
พบข้อบกพร่องใน Connected Vehicle Services ซึ่งเป็นชุดซอฟต์แวร์ที่มีฟีเจอร์มากมาย เช่น การแจ้งเตือนการชนอัตโนมัติ การช่วยเหลือรถเสียฉุกเฉินขั้นสูง การปลดล็อคประตูจากระยะไกล การสตาร์ทรถจากระยะไกล การกู้คืนรถที่ถูกขโมย การนำทางแบบเลี้ยวต่อเลี้ยว . อุปกรณ์
บริการรถยนต์ที่เชื่อมต่อนั้นสร้างขึ้นโดย SiriusXM และใช้งานโดยผู้ผลิตรถยนต์หลายราย เช่น Honda, Nissan, Infiniti และ Acura ซึ่งล้วนมีความเสี่ยง
VIN สำหรับการอนุญาต
ช่องโหว่นี้เผยแพร่สู่สาธารณะโดย Sam Curry นักวิจัยด้านความปลอดภัยของ Yuga Labs ผู้ซึ่งคุ้นเคยกับการค้นหาข้อบกพร่องด้านความปลอดภัยในรถยนต์ ในเธรด Twitter (เปิดในแท็บใหม่) Curry อธิบายวิธีการทำงานของข้อบกพร่อง โดยเสริมว่า SiriusXM ได้รับการแก้ไขแล้ว
เห็นได้ชัดว่าปัญหาเกิดจากแพลตฟอร์มเทเลเมติกส์ที่ใช้หมายเลขประจำตัวรถ (VIN) ของรถ ซึ่งมักพบบนกระจกหน้ารถ เพื่ออนุญาตคำสั่งและป้อนโปรไฟล์ผู้ใช้
ซึ่งหมายความว่าใครก็ตามที่ทราบหมายเลข VIN สามารถออกคำสั่งต่างๆ จากระยะไกล ตั้งแต่การปลดล็อกประตูไปจนถึงการสตาร์ทเครื่องยนต์
เพื่อตอบสนองต่อการค้นพบของ The Register โฆษกของบริษัทกล่าวว่า SiriusXM ถูกหลอกล่อผ่านโครงการล่าเงินรางวัล
“เราให้ความสำคัญกับความปลอดภัยของบัญชีลูกค้าของเราอย่างจริงจัง และมีส่วนร่วมในโปรแกรมรางวัลบั๊กเพื่อช่วยระบุและแก้ไขช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นซึ่งส่งผลกระทบต่อแพลตฟอร์มของเรา” คำแถลงดังกล่าว
“ในส่วนหนึ่งของงานนี้ นักวิจัยด้านความปลอดภัยได้ส่งรายงานไปยัง Sirius XM Connected Vehicle Services เกี่ยวกับการละเมิดสิทธิ์ที่ส่งผลต่อโปรแกรมเทเลเมติกส์เฉพาะ ปัญหาได้รับการแก้ไขภายใน 24 ชั่วโมงหลังจากส่งรายงาน "ไม่เคยมีผู้สมัครสมาชิกหรือข้อมูลอื่นใดถูกบุกรุก และไม่มีการแก้ไขบัญชีที่ไม่ได้รับอนุญาตโดยใช้วิธีนี้"
ผ่าน: The Registry (เปิดในแท็บใหม่)