Una falla en el código que permitía a los delincuentes robar autos a través de Internet ahora se corrigió, según los informes, y se instó a los propietarios a actualizar sus sistemas de inmediato.
La falla se encontró en Connected Vehicle Services, un paquete de software que ofrece una serie de características como notificaciones automáticas de choques, asistencia en carretera mejorada, desbloqueo remoto de puertas, arranque remoto, recuperación de vehículos robados, navegación paso a paso e integración de hogar inteligente. dispositivos.
Los servicios de vehículos conectados están construidos por SiriusXM y son utilizados por una gran cantidad de fabricantes de automóviles, incluidos Honda, Nissan, Infiniti y Acura, todos los cuales eran vulnerables.
VIN para autorización
La falla fue hecha pública por el investigador de seguridad de Yuga Labs, Sam Curry, quien está acostumbrado a encontrar fallas de seguridad en los automóviles. En un hilo de Twitter (se abre en una nueva pestaña), Curry explicó cómo funciona la falla y agregó que SiriusXM ya la parchó.
Aparentemente, el problema se debió a que la plataforma telemática utiliza el número de identificación del vehículo (VIN) del automóvil, que a menudo se encuentra en el parabrisas, para autorizar comandos e ingresar perfiles de usuarios.
Esto significa que cualquiera que conozca el número VIN puede emitir una serie de comandos de forma remota, desde desbloquear las puertas hasta arrancar el motor.
En respuesta a los hallazgos de The Register, el portavoz de la compañía dijo que SiriusXM había sido informado a través de su programa de cazarrecompensas.
«Nos tomamos en serio la seguridad de las cuentas de nuestros clientes y participamos en un programa de recompensas por errores para ayudar a identificar y corregir posibles vulnerabilidades de seguridad que afectan a nuestras plataformas», dice el comunicado.
“Como parte de este trabajo, un investigador de seguridad envió un informe a Sirius XM Connected Vehicle Services sobre una violación de permisos que afectaba a un programa telemático específico. El problema se resolvió dentro de las 24 horas posteriores a la presentación del informe. En ningún momento se ha comprometido ningún suscriptor u otros datos y ninguna cuenta no autorizada se ha modificado utilizando este método».
ผ่าน: The Registry (เปิดในแท็บใหม่)
