Hakerom wystarczy VIN, by przejąć kontrolę nad samochodem
Hakerzy znaleźli nowy sposób na przejęcie kontroli nad samochodem. Wykorzystali w tym celu VIN oraz firmową aplikację zapewniającą zdalny dostęp do niektórych funkcji auta.
Producenci samochodów coraz częściej wyposażają je w aplikacje zapewniające zdalny dostęp do niektórych funkcji. Mają ułatwić życie kierowcom, umożliwiając m.in. zlokalizowanie auta na dużym parkingu, przewietrzenie wnętrza w letni dzień, a nawet odblokowanie zamków oraz uruchomienie silnika. Tymczasem w rękach hakerów mogą stać się narzędziem ułatwiającym przejęcie kontroli nad pojazdem.
O takim ich wykorzystaniu donosi Sam Curry, inżynier z firmy Yuga Labs, który opisał nowe zagrożenie na swym koncie na Twitterze. Odkrył lukę w platformie SiriusXM, znanej głównie z satelitarnego radia, która dodatkowo zapewnia zdalny dostęp do funkcji pojazdu. Twierdzi, że mając jedynie VIN auta, był w stanie zdalnie odblokować zamki, uruchomić silnik, zlokalizować samochód, błysnąć światłami, a także użyć klaksonu. Zrobił to w wozach takich marek jak Honda, Nissan, Infiniti oraz Acura.
Haker objaśnił swe działania na przykładzie pożyczonego Nissana oraz rozpracowania firmowej aplikacji NissanConnect, umożliwiającej zdalne kontrolowanie pojazdu. Za pomocą VIN-u uzyskał dostęp do profilu kierowcy, a następnie przejął kontrolę nad autem. Zdobycie samego numeru było najłatwiejszą częścią zadania, gdyż w nowych modelach jest powszechnie dostępny – znajduje się na podszybiu. Później było znacznie trudniej, gdyż wymagało to analizy ruchu generowanego przez aplikację oraz jej zabezpieczeń. Metodą prób i błędów udało się jednak osiągnąć „sukces”.
Nowy sposób na kradzież pojazdu
Zespół stworzył specjalny skrypt, który za pomocą wprowadzonego VIN-u (unikalny numer identyfikacyjny pojazdu nadany przez producenta) pozwala wyciągnąć z aplikacji dane klienta. Później odkryto jednak, że pozwala on nie tylko przeglądać informacje o koncie, ale również wysyłać polecenia do auta. W ten sposób haker mógł zdalnie odblokować zamki i uruchomić silnik w praktycznie każdym pojeździe Hondy, Nissana, Infiniti oraz Acury. Prócz tego mógł zlokalizować samochód, błysnąć światłami oraz użyć klaksonu.
Właściciele takich modeli nie muszą się jednak martwić. Yuga Labs skontaktowało się już z SiriusXM, by poinformować firmę o odkrytej luce w zabezpieczeniach platformy. Ta oczywiście natychmiast przygotowała łatkę, którą udostępniła dla pojazdów, jeszcze zanim eksperci ogłosili swe odkrycie.
Powyższa sytuacja pokazuje jednak, jak dużym zagrożeniem mogą być nowoczesne technologie montowane na pokładzie samochodów. W założeniach mają chronić pojazd przed kradzieżą, a tymczasem mogą ją znacznie ułatwić.
Komentarze czytelników
zanonimizowany208826 Generał
Nie lubię jak myli się starych hakerów ze zwykłymi złodziejami.
Mientek007 Pretorianin
I dlatego nigdy nie kupię auta które jest podłączone do Internetu. Moja Skoda Octavia 2 FL z 2010 roku pomimo 350 tys. km jeszcze mnie nie zawiodła ;)
mirko81 Legend
Haha jaki badziew. VIN widoczny z zewnątrz auta. Proponuje jeszcze wytloczyc dane właściciela.
I tak nigdy nie kupie wozu który firmowo nie posiada google map w navi
powidmo Pretorianin
nad moim autem z 99 r. kontroli nie przejmą. z kontrolą nad nim to sam mam problem, bo brak wspomagania kierownicy i ABS, a jak spadnie śnieg, to już w ogóle ; )
Jerry_D Senator
Nic szczególnie dziwnego. Teraz nie ma samochodów, tylko komputery na kółkach. A im bardziej skomputeryzowane będą, tym więcej takich luk.
GRYOnline.pl:
tvgry.pl:
