Comienzan los Días Naranjas en PcComponentes. Hay un montón de artículos con descuentos impresionantes!!!
Ver mejores ofertasLas aplicaciones para el coche son prácticas, pero estas características no están exentas de peligros. La seguridad de la aplicación a distancia no está bajo tu control.
Existe la posibilidad de que la seguridad de las aplicaciones que te permiten arrancar, desbloquear, tocar el claxon y localizar tu automóvil desde tu teléfono esté comprometida. Los piratas informáticos fueron capaces de lograr todo esto sin su información de acceso.
La llamada a revisión afectó a vehículos Acura, Honda, Infiniti y Nissan. El mismo proveedor telemático da servicio a vehículos fabricados por BMW, Hyundai, Jaguar, Land Rover, Lexus y Subaru, además de Toyota, como SiriusXM se encarga de prestar servicios a distancia para cada uno de estos fabricantes de automóviles, la lista es bastante larga.
Los piratas informáticos no sabían que SiriusXM estaba implicada en este sector porque la empresa es muy conocida por su servicio de radio por satélite. Dado que se necesita una cuenta para utilizar los servicios remotos, es bastante probable que ya se sepa que SiriusXM es la empresa responsable de proporcionarlos.
Sam Curry, hacker, bug bounty hunter e ingeniero de seguridad de Yuga Labs, declaró que el número de identificación del vehículo (VIN) era todo lo que necesitaba para acceder al perfil del conductor (VIN). Este código está presente en todos los automóviles. Es fácil acceder a él porque se puede ver claramente desde el parabrisas delantero de la mayoría de los vehículos en cualquier aparcamiento.
Dado que SiriusXM apostó todo a un solo caballo, los investigadores no necesitaron más que NissanConnect para demostrar su teoría. Se pusieron en contacto con un propietario de Nissan y utilizaron sus credenciales para llevar a cabo la investigación.
En contra de lo que cabría esperar, las aplicaciones se conectan con SiriusXM y no con el fabricante de automóviles. Curry hizo el interesante descubrimiento de que la aplicación NissanConnect y el servidor de autenticación alojado sólo se preocupaban por el “customerId”, no se producía ningún cambio al modificar “vin”.
Los investigadores descubrieron que el campo customerId del coche de prueba incluía las cabeceras “nissancust” y “Cv-Tsp” respectivamente. Los intentos de cambiar cualquiera de las dos variables dieron como resultado solicitudes rechazadas. Abandonaron ese objetivo para concentrarse en las tareas que tenían entre manos.
Tras esperar unas horas, los investigadores se toparon con una respuesta HTTP que tenía un “formato vin” idéntico al prefijo “nissancust” anterior. Por tanto, enviaron el customerId con el prefijo VIN. La respuesta fue un token de portador, algo totalmente inesperado. El token de portador se utilizó con éxito para obtener el perfil de usuario.
Mediante el uso de HTTP, los investigadores pudieron obtener el nombre, el número de teléfono, la dirección y los datos del coche de la víctima. Desarrollaron un script en Python para recopilar los detalles del cliente VIN utilizando esta estructura como guía. Curry llegó a la conclusión de que era capaz de leer la información de la cuenta y emitir peticiones de comando al automóvil.
Curry declaró en un tuit que con el número de identificación del vehículo (VIN) de la víctima, “podíamos ejecutar instrucciones en los vehículos y recopilar información del usuario.” Utilizando únicamente el número de identificación del vehículo (VIN), pudimos desbloquear, arrancar, localizar, hacer parpadear y hacer sonar el claxon de cualquier vehículo Honda, Nissan, Infiniti o Acura conectado a distancia”.
Las llamadas a la API para servicios telemáticos tuvieron éxito incluso si el usuario no estaba suscrito a SiriusXM. Curry tiene la posibilidad de inscribir o dar de baja voluntariamente a propietarios de vehículos en cualquier momento.
No se preocupe si tiene uno de estos mandos en su poder. Yuga Labs informó a SiriusXM de la vulnerabilidad, y ésta la parcheó rápidamente tras recibir la información.