Ein ziemlich bizarrer Fehler im SiriusXM-Code könnte Ihr intelligentes Fahrzeug entsperren(0)

Berichten zufolge wurde ein Codefehler behoben, der es Kriminellen ermöglichte, Autos über das Internet zu stehlen, und die Eigentümer aufgefordert, ihre Systeme sofort zu aktualisieren.

Der Fehler wurde in Connected Vehicle Services gefunden, einer Software-Suite, die eine Reihe von Funktionen wie automatische Unfallbenachrichtigungen, erweiterte Pannenhilfe, Fernentriegelung von Türen, Fernstart, Hilfe bei der Wiederbeschaffung gestohlener Fahrzeuge, Turn-by-Turn-Navigation und Integration mit Smart Home bietet Geräte.

Connected Vehicle Services wird von SiriusXM entwickelt und von einer großen Anzahl von Autoherstellern verwendet, darunter Honda, Nissan, Infiniti und Acura, die alle anfällig waren.

Der Fehler wurde von Yuga Labs-Sicherheitsforscher Sam Curry veröffentlicht, der in der Vergangenheit Sicherheitslücken in Autos gefunden hat. In einem Twitter-Thread(opens in new tab) erklärte Curry, wie der Fehler funktioniert, und fügte hinzu, dass SiriusXM ihn bereits behoben habe.

Anscheinend rührte das Problem daher, dass die Telematikplattform die Fahrzeugidentifikationsnummer (VIN) des Autos verwendet, die häufig auf der Windschutzscheibe zu finden ist, um Befehle zu autorisieren und Benutzerprofile abzurufen.

Wer also die Fahrgestellnummer kennt, kann aus der Ferne eine Reihe von Befehlen erteilen, vom Entriegeln der Türen bis zum Starten des Motors.

Als Reaktion auf die Ergebnisse in The Register sagte der Sprecher des Unternehmens, SiriusXM sei über sein Kopfgeldjagdprogramm informiert worden

„Wir nehmen die Sicherheit der Konten unserer Kunden ernst und nehmen an einem Bug-Bounty-Programm teil, um potenzielle Sicherheitslücken zu identifizieren und zu beheben, die sich auf unsere Plattformen auswirken“, heißt es in der Erklärung.

„Als Teil dieser Arbeit reichte ein Sicherheitsforscher einen Bericht an Sirius XMs Connected Vehicle Services über einen Autorisierungsfehler ein, der sich auf ein bestimmtes Telematikprogramm auswirkte. Das Problem wurde innerhalb von 24 Stunden nach Übermittlung des Berichts behoben. Zu keinem Zeitpunkt wurden mit dieser Methode Abonnenten- oder andere Daten kompromittiert oder ein nicht autorisiertes Konto modifiziert."