Os hackers encontram uma maneira de acessar suas informações pessoais e roubar seu carro ao mesmo tempo

No contexto: Aplicativos remotos para carros são uma grande conveniência. Adoro ligar remotamente meu Subaru Legacy para permitir que ele aqueça um pouco agora que o tempo está esfriando. No entanto, esses recursos não são isentos de riscos. Alguns são calculados. Por exemplo, você pode limitar as chances de roubo de carro não destravando ou ligando o carro, a menos que tenha uma linha de visão direta. Outras ameaças estão fora de suas mãos, como a segurança do aplicativo remoto.

Esses convenientes aplicativos de carro remoto que permitem iniciar, desbloquear, buzinar e até localizar seu carro a partir do telefone podem não ser tão seguros quanto você pensava. Os hackers descobriram uma maneira de fazer todas essas coisas sem precisar de suas credenciais de login.

O truque trabalhado para várias marcas, incluindo veículos Acura, Honda, Infiniti e Nissan. Também pode funcionar em BMW, Hyundai, Jaguar, Land Rover, Lexus, Subaru e Toyota, pois todos usam o mesmo provedor telemático. A lista de carros era tão ampla porque parece que a SiriusXM é a empresa que lida com serviços remotos para todos esses fabricantes.

Os hackers não sabiam que o SiriusXM estava nessa linha de negócios, já que é mais conhecido por sua funcionalidade de rádio via satélite. No entanto, se você possui alguma dessas marcas, provavelmente já sabe que a SiriusXM está por trás dos serviços remotos do seu carro, pois você precisa criar uma conta para usá-los.

Hacker autoproclamado, caçador de recompensas de bugs e engenheiro de segurança da equipe do Yuga Labs Sam Curry explicou em um tópico no Twitter que tudo o que ele e sua equipe precisavam para acessar qualquer perfil de motorista era o número de identificação do veículo (VIN). Este código é único para todos os carros. No entanto, é facilmente acessado com um passeio por qualquer estacionamento, pois é visível através do para-brisa no painel da maioria dos veículos.

Os pesquisadores demoraram um pouco para fazer a engenharia reversa dos aplicativos, mas como o SiriusXM colocou todos os seus ovos em uma cesta, eles precisaram de apenas um para uma prova de conceito – Nissan Connect. Eles contataram alguém que possuía um Nissan e pegaram suas credenciais emprestadas para se aprofundar no processo de autenticação.

Os aplicativos funcionam se comunicando com um domínio de propriedade da SiriusXM, não com o fabricante do carro, como se poderia pensar intuitivamente. Por tentativa e erro, Curry descobriu que o único parâmetro com o qual o aplicativo NissanConnect e o servidor de autenticação hospedado se importavam era “customerId”. Alterar outros campos, como “vin”, não surtiu efeito.

Durante a espionagem, a equipe descobriu que o campo customerId tinha um prefixo “nissancust” e um cabeçalho “Cv-Tsp” que especificava “NISSAN_17MY” para o veículo de teste. Se eles alterassem qualquer uma dessas variáveis, as solicitações falhariam. Então eles colocaram esse ponto final em segundo plano e se concentraram em outros.

Várias horas depois, os pesquisadores encontraram uma resposta HTTP que tinha um “formato vin [that] parecia estranhamente semelhante ao prefixo “nissancust” da solicitação HTTP anterior.” Então, eles tentaram enviar o ID com prefixo VIN como o customerId. Surpreendentemente, ele retornou um token de portador, que foi uma espécie de momento eureca. Eles tentaram usar o portador token para enviar uma solicitação de busca para o perfil do usuário e funcionou!

Os pesquisadores acessaram várias informações do cliente via HTTP, incluindo o nome da vítima, número de telefone, endereço e detalhes do carro. Usando isso como uma estrutura, eles criaram um script python para acessar os detalhes do cliente de qualquer VIN inserido. Mais cutucadas e insistências levaram Curry a descobrir que ele podia não apenas visualizar as informações da conta, mas também usar o acesso para enviar solicitações de comando ao carro.

“Poderíamos executar comandos em veículos e obter informações do usuário das contas sabendo apenas o número VIN da vítima, algo que estava no para-brisa”, tuitou Curry. “Conseguimos desbloquear, iniciar, localizar, piscar e buzinar remotamente qualquer veículo Honda, Nissan, Infiniti e Acura conectado remotamente, completamente não autorizado, sabendo apenas o número VIN [sic] do carro.”

Além disso, as chamadas de API para serviços telemáticos funcionavam mesmo se o usuário não tivesse mais uma assinatura SiriusXM ativa. Curry também observou que poderia inscrever ou cancelar a inscrição de proprietários de veículos no serviço à vontade.

Não entre em pânico se você tiver uma dessas marcas e usar sua funcionalidade remota. A Yuga Labs contatou a SiriusXM sobre a brecha de segurança e imediatamente emitiu um patch antes que os pesquisadores anunciassem a vulnerabilidade no início desta semana.


Link do Autor

Total
0
Shares
0 Share
0 Tweet
0 Share
0 Share
0 Pin it
Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


O período de verificação do reCAPTCHA expirou. Por favor, recarregue a página.

Related Posts