Ett fel i koden som gjorde det möjligt för brottslingar att stjäla bilar över internet har nu enligt uppgift åtgärdats och ägare har uppmanats att uppdatera sina system omedelbart.
Felet hittades i Connected Vehicle Services, ett mjukvarupaket som erbjuder en mängd funktioner som automatiska krockmeddelanden, förbättrad vägassistans, fjärrupplåsning av dörrar, fjärrstart, återställning av stulna fordon, sväng-för-sväng-navigering och integration av smarta hem . enheter.
Uppkopplade fordonstjänster byggs av SiriusXM och används av en mängd biltillverkare, inklusive Honda, Nissan, Infiniti och Acura, som alla var sårbara.
VIN för auktorisering
Bristen offentliggjordes av Yuga Labs säkerhetsforskare Sam Curry, som är van vid att hitta säkerhetsbrister i bilar. I en Twitter-tråd (öppnas i en ny flik) förklarade Curry hur felet fungerar och tillade att SiriusXM redan har korrigerat det.
Problemet orsakades tydligen av att telematikplattformen använde bilens fordonsidentifikationsnummer (VIN), som ofta finns på vindrutan, för att auktorisera kommandon och ange användarprofiler.
Det betyder att alla som känner till VIN-numret kan på distans utfärda en rad kommandon, från att låsa upp dörrarna till att starta motorn.
Som svar på The Registers resultat sa företagets talesman att SiriusXM hade blivit tipsad genom sitt prisjaktsprogram.
"Vi tar säkerheten för våra kunders konton på allvar och deltar i ett bug-bounty-program för att hjälpa till att identifiera och åtgärda potentiella säkerhetsbrister som påverkar våra plattformar", heter det i uttalandet.
"Som en del av detta arbete lämnade en säkerhetsforskare in en rapport till Sirius XM Connected Vehicle Services om ett behörighetsbrott som påverkar ett specifikt telematikprogram. Problemet löstes inom 24 timmar efter att rapporten skickades. Vid inget tillfälle har någon prenumerant eller annan data äventyrats och inget obehörigt konto har ändrats med den här metoden."
Via: registret (öppnas i en ny flik)
