มีรายงานว่าข้อบกพร่องในโค้ดที่อนุญาตให้อาชญากรขโมยรถทางอินเทอร์เน็ตได้รับการแก้ไขแล้ว และขอให้เจ้าของรถปรับปรุงระบบทันที
พบข้อบกพร่องใน Connected Vehicle Services ซึ่งเป็นชุดซอฟต์แวร์ที่มีฟีเจอร์มากมาย เช่น การแจ้งเตือนการชนอัตโนมัติ การช่วยเหลือรถเสียฉุกเฉินขั้นสูง การปลดล็อคประตูจากระยะไกล การสตาร์ทรถจากระยะไกล การกู้คืนรถที่ถูกขโมย การนำทางแบบเลี้ยวต่อเลี้ยว . อุปกรณ์
บริการรถยนต์ที่เชื่อมต่อนั้นสร้างขึ้นโดย SiriusXM และใช้งานโดยผู้ผลิตรถยนต์หลายราย เช่น Honda, Nissan, Infiniti และ Acura ซึ่งล้วนมีความเสี่ยง
VIN สำหรับการอนุญาต
ช่องโหว่นี้เผยแพร่สู่สาธารณะโดย Sam Curry นักวิจัยด้านความปลอดภัยของ Yuga Labs ผู้ซึ่งคุ้นเคยกับการค้นหาข้อบกพร่องด้านความปลอดภัยในรถยนต์ ในเธรด Twitter (เปิดในแท็บใหม่) Curry อธิบายวิธีการทำงานของข้อบกพร่อง โดยเสริมว่า SiriusXM ได้รับการแก้ไขแล้ว
เห็นได้ชัดว่าปัญหาเกิดจากแพลตฟอร์มเทเลเมติกส์ที่ใช้หมายเลขประจำตัวรถ (VIN) ของรถ ซึ่งมักพบบนกระจกหน้ารถ เพื่ออนุญาตคำสั่งและป้อนโปรไฟล์ผู้ใช้
ซึ่งหมายความว่าใครก็ตามที่ทราบหมายเลข VIN สามารถออกคำสั่งต่างๆ จากระยะไกล ตั้งแต่การปลดล็อกประตูไปจนถึงการสตาร์ทเครื่องยนต์
เพื่อตอบสนองต่อการค้นพบของ The Register โฆษกของบริษัทกล่าวว่า SiriusXM ถูกหลอกล่อผ่านโครงการล่าเงินรางวัล
"Nos tomamos en serio la seguridad de las cuentas de nuestros clientes y participamos en un programa de recompensas por errores para ayudar a identificar y corregir posibles vulnerabilidades de seguridad que afectan a nuestras plataformas", dice el comunicado.
“Como parte de este trabajo, un investigador de seguridad envió un informe a Sirius XM Connected Vehicle Services sobre una violación de permisos que afectaba a un programa telemático específico. El problema se resolvió dentro de las 24 horas posteriores a la presentación del informe. En ningún momento se ha comprometido ningún suscriptor u otros datos y ninguna cuenta no autorizada se ha modificado utilizando este método".
ผ่าน: The Registry (เปิดในแท็บใหม่)