汽車廣播超級供應商Sirius XM曝出漏洞，攻擊者只需知道車輛識別碼（VIN），就能遠程解鎖車門、啟動聯(lián)網(wǎng)車輛引擎；

　　大多數(shù)情況下，汽車VIN碼直接展露在汽車前擋風玻璃下方。

　　安全內參12月2日消息，美國廣播公司Sirius XM的聯(lián)網(wǎng)車輛服務修復了一個授權漏洞，此漏洞允許攻擊者在只知道車輛識別碼（VIN）的情況下，遠程解鎖車門、啟動聯(lián)網(wǎng)車輛引擎。

　　研究團隊Yuga Labs的Sam Curry發(fā)布了一系列推文介紹了此漏洞，并表示Sirius XM發(fā)布的補丁已經修復安全問題。

　　這個漏洞影響到了本田、日產、英菲尼迪和謳歌等多個汽車品牌，Sirius XM聯(lián)網(wǎng)車輛服務發(fā)言人通過郵件發(fā)布聲明稱：

　　“我們非常重視客戶賬戶的安全，并參與了漏洞獎勵計劃，希望幫助識別并糾正可能對我平臺造成影響的潛在安全漏洞。作為工作的一部分，有安全研究人員向Sirius XM的聯(lián)網(wǎng)車輛服務提交了一份報告，上報了影響到特定遠程信息處理程序的授權缺陷。該問題在報告提交的24小時內即得到解決。沒有任何用戶或其他數(shù)據(jù)受到損害，也沒有任何賬戶受到這種未授權方法的篡改?！?/p>

　　今年早些時候，Curry和其他幾位漏洞研究人員曾發(fā)現(xiàn)多個影響到不同汽車廠商的漏洞。糟糕的現(xiàn)實令他們不禁發(fā)問，“到底是誰在為這些汽車制造商提供遠程信息處理服務？”

　　答案是Sirius XM。目前謳歌、寶馬、本田、現(xiàn)代、英菲尼迪、捷豹、路虎、雷克薩斯、日產、斯巴魯和豐田使用的聯(lián)網(wǎng)汽車服務都來自該公司。

　　研究人員們發(fā)現(xiàn)，該遠程信息處理平臺其實是使用汽車的VIN碼（大多就直接展露在汽車前擋風玻璃下方）來授權指令、獲取用戶配置信息。

　　也就是說，只要攻擊者知曉VIN碼（在很多車型上，只要在車旁看一下就能找到），就可以向遠程信息處理平臺發(fā)送請求，進而遠程解鎖、啟動、定位車輛，包括激活車上的燈光和喇叭。

　　根據(jù)Curry的說法，該團隊打算很快公布關于汽車入侵案例的更多調查結果。另外，他們還收到了關于下一步攻擊目標和預期效果的請求。一位推特用戶請他們“下一次試試OnStar。”

　　汽車漏洞并不鮮見

　　今年早些時候，安全研究人員還在本田汽車上發(fā)現(xiàn)過另一個漏洞，允許惡意黑客遠程啟動并解鎖2016年至2020年間生產的思域轎車。

　　此漏洞被編號為CVE-2022-27254，發(fā)現(xiàn)者為馬薩諸塞大學達特茅斯分校的學生Ayyappan Rajesh和一位昵稱叫HackingIntoYourHeart的研究者。

　　他們在研究中感謝了導師Sam Curry的協(xié)助，并解釋稱“各款本田汽車在每次開門、關門、啟動和遠程啟動時都會發(fā)送相同的、未經加密的RF信號。攻擊者可以竊聽請求并實施重放攻擊。”

更多信息可以來這里獲取==>>電子技術應用-AET<<