Lỗ hổng của Sirius XM giúp kẻ gian mở khóa hàng loạt ôtô

Thông báo cho thấy những chiếc xe của Honda, Nissan, Infiniti và Acura có thể dễ dàng bị kẻ gian mở khóa bằng phần mềm Sirius XM.

Việc khởi động xe từ xa bằng điện thoại đã không còn quá xa lạ với người dùng trên thế giới cũng như tại Việt Nam. Tuy nhiên, cái gì "hiện đại quá cũng hại điện" và có thể dễ dàng bị kẻ gian "hack" được nếu phần mềm của hãng hay bên thứ 3 nếu có lỗ hổng chết người.

Mới đây, phần mềm Sirius XM đã buộc phải sửa một lỗ hổng bảo mật cho phép tin tặc mở khóa, khởi động, định vị, nhấp nháy và bấm còi từ xa của bất kỳ mẫu xe nào đến từ 4 thương hiệu Honda, Nissan, Infiniti và Acura nếu được trang bị kết nối từ xa.

Lo hong chet nguoi cua Sirius XM giup ke gian mo khoa hang loat oto

Lỗ hổng chết người của SiriusXM có thể giúp kẻ gian mở khóa, khởi động từ xa loạt xe ôtô của nhiều hãng

Một hacker nổi tiếng tên là Sam Curry gần đây đã phát hiện ra lỗ hổng bảo mật Sirius XM và trình bày chi tiết quá trình này trong một loạt các tweet. Sau khi tìm thấy một loạt các lỗ hổng ảnh hưởng đến các công ty ô tô khác nhau, Curry và nhóm của ông bắt đầu tìm kiếm một dịch vụ cung cấp dịch vụ viễn thông cho tất cả các công ty đó. Nó phát hiện ra rằng SiriusXM đã được sử dụng trong tất cả các phương tiện bị ảnh hưởng và sau đó được xác định thông qua việc sử dụng ứng dụng NissanConnect rằng có thể kiểm tra và sửa đổi mã HTTP.
Người ta phát hiện ra rằng SiriusXM đang sử dụng số VIN của xe để ủy quyền các lệnh và tìm nạp hồ sơ người dùng. Tin tặc đã phát hiện ra tên, số điện thoại, địa chỉ và thông tin chi tiết về ôtô của chủ sở hữu, đồng thời cũng có thể ra lệnh cho phương tiện chỉ bằng cách biết số VIN của ôtô.
Lo hong chet nguoi cua Sirius XM giup ke gian mo khoa hang loat oto-Hinh-2
Người ta phát hiện ra rằng SiriusXM đang sử dụng số VIN của xe để ủy quyền các lệnh và tìm nạp hồ sơ người dùng.
Ngay sau khi phát hiện ra lỗ hổng, Curry và nhóm của anh ấy đã báo cáo sự cố với SiriusXM, người đã nhanh chóng vá nó.
“Chúng tôi coi trọng vấn đề bảo mật tài khoản của khách hàng và tham gia vào chương trình tiền thưởng lỗi để tri ân những người giúp mình xác định và sửa các lỗi bảo mật tiềm ẩn ảnh hưởng đến nền tảng của chúng tôi,” người phát ngôn của Sirius XM Connected Vehicle Services nói với The Register.
“Là 1 phần của công việc, một nhà nghiên cứu bảo mật đã gửi báo cáo tới dịch vụ phương tiện được kết nối của Sirius XM về một lỗ hổng ủy quyền ảnh hưởng đến một chương trình viễn thông cụ thể. Vấn đề đã được giải quyết trong vòng 24 giờ sau khi báo cáo được gửi. Không có bất kỳ người đăng ký hoặc dữ liệu nào khác bị xâm phạm cũng như không có bất kỳ tài khoản trái phép nào bị sửa đổi bằng phương pháp này.”
Curry tiết lộ rằng các nhà sản xuất ôtô đã cho phép chủ sở hữu xác thực dữ liệu thông qua một ứng dụng di động, chẳng hạn như ứng dụng Nissan Connected và MyHonda.
Theo Đời sống
Wuling Bingo về Việt Nam có gì cạnh tranh Vinfast VF5?

Wuling Bingo về Việt Nam có gì cạnh tranh Vinfast VF5?

Wuling Bingo của TMT Motors có vẻ đang mang đến sự tích cực về mặt truyền thông với hàng loạt trang bị và công nghệ. Liệu "canh bạc" này có bị đối thủ VinFast VF5 "đánh bại" trong phân khúc SUV hạng A tại Việt Nam?
back to top