En contexte : les applications à distance pour les voitures sont très pratiques. J’aime démarrer ma Subaru Legacy à distance pour lui permettre de se réchauffer un peu maintenant que les conditions météorologiques se refroidissent. Ces fonctions ne sont pas sans menace. Certains sont calculés. Vous pouvez limiter les possibilités de vol de véhicule en ne déverrouillant ou en ne démarrant pas les voitures et le camion à moins d’avoir une ligne de vue directe. D’autres dangers vous échappent, comme la sécurité de l’application distante.
Ces applications pratiques pour voitures et camions à distance qui vous permettent de démarrer, de déverrouiller, de klaxonner et même de localiser votre voiture à partir de votre téléphone ne sont peut-être pas aussi sécurisées que vous le pensiez. Les pirates ont trouvé un moyen de faire toutes ces choses sans avoir besoin de vos qualifications de connexion.
L’astuce a fonctionné pour de nombreuses marques, y compris les automobiles Acura, Honda, Infiniti et Nissan. Cela pourrait également fonctionner sur BMW, Hyundai, Jaguar, Land Rover, Lexus, Subaru et Toyota étant donné qu’ils utilisent tous le même fournisseur de services télématiques. La liste des automobiles était si large car il semble que SiriusXM soit la société qui gère les services à distance pour tous ces fabricants.
Les pirates ignoraient que SiriusXM était même dans ce secteur d’activité, car il est bien meilleur connu pour ses performances radio par satellite. Cependant, si vous possédez l’une de ces marques, vous savez probablement déjà que SiriusXM est derrière les services à distance de votre véhicule puisque vous devez développer un compte pour les utiliser.
Hacker autoproclamé, chasseur de primes de bogues, et ingénieur en sécurité du personnel pour Yuga Labs Sam Curry a expliqué dans un fil Twitter que tout ce dont lui et son équipe avaient besoin pour accéder à n’importe quel profil d’automobiliste était le numéro d’identification automobile (VIN) de la voiture. Ce code est spécial pour toutes les voitures. Il est facilement accessible en se promenant dans n’importe quel parking, car il est visible à travers le pare-brise sur le tableau de bord de nombreuses voitures.
Il a fallu un certain temps aux chercheurs pour rétroconcevoir les applications, mais étant donné que SiriusXM a mis tous ses œufs dans le même panier, ils n’en avaient besoin que d’un pour une preuve de concept – NissanConnect. Ils ont appelé quelqu’un qui possédait une Nissan et ont emprunté ses qualifications pour approfondir la procédure d’authentification.
Les applications fonctionnent en interagissant avec un domaine appartenant à SiriusXM, et non avec le constructeur du véhicule, comme on pourrait le penser intuitivement. Grâce à l’expérimentation, Curry a découvert que le seul paramètre dont l’application NissanConnect et le serveur d’authentification hébergé se souciaient était « customId ». La modification d’autres champs, comme « vin », n’avait aucun résultat.
Pendant son espionnage, le groupe a découvert que le champ customerId avait un préfixe » nissancust » et un en-tête » Cv-Tsp » qui définissait » NISSAN_17MY » pour l’automobile de test. S’ils modifiaient l’une de ces variables, les requêtes cessaient de fonctionner. Ils ont mis ce point de terminaison en veilleuse et se sont concentrés sur les autres.
Plusieurs heures plus tard, les scientifiques sont tombés sur une action HTTP qui avait un » format vin [qui] semblait étrangement comparable au préfixe » nissancust » à partir de la demande HTTP précédente. » Ils ont tenté d’envoyer l’ID avec le préfixe VIN en tant qu’ID client. Remarquablement, il a renvoyé un jeton au porteur, ce qui était en quelque sorte un moment eureka. Ils ont essayé d’utiliser le jeton porteur pour envoyer une demande de récupération du profil utilisateur, et cela a fonctionné !
Les scientifiques ont accédé à différentes informations sur les consommateurs via HTTP, comprenant le nom, le numéro de téléphone, l’adresse et l’automobile de la victime. informations. En utilisant cela comme cadre, ils ont produit un script python pour accéder aux informations sur les consommateurs de n’importe quel VIN entré. Plus de piqûres et d’incitations ont conduit Curry à découvrir qu’il pourrait non seulement afficher les détails du compte, mais également utiliser l’accès pour envoyer des demandes de commande aux voitures. et camion.
« Nous pourrions exécuter des commandes sur des camions et récupérer des informations sur les utilisateurs à partir des comptes en ne comprenant que le numéro VIN de la victime, quelque chose qui était sur le pare-brise », a tweeté Curry. « Nous avions la possibilité d’ouvrir, de démarrer, de trouver, de clignoter et d’émettre un bip à partir d’un autre emplacement, n’importe quel camion Honda, Nissan, Infiniti et Acura lié à partir d’un autre emplacement, complètement non approuvé, connaissant uniquement le numéro VIN [sic] des voitures et des camions. . «
De plus, l’API nécessite des services télématiques travaillés même si l’utilisateur n’avait plus d’abonnement SiriusXM actif. Curry a également gardé à l’esprit qu’il pourrait enregistrer ou désinscrire les propriétaires de camions du service à volonté.
Ne paniquez pas si vous avez parmi ces marques et utilisez sa fonctionnalité à distance. Yuga Labs a contacté SiriusXM au sujet de la faille de sécurité ouverte, et il a immédiatement publié un message avant que les scientifiques n’annoncent la vulnérabilité plus tôt cette semaine.
Toute l’actualité en temps réel, est sur L’Entrepreneur
