汽車廣播超級供應(yīng)商Sirius XM曝出漏洞，攻擊者只需知道車輛識別碼（VIN）,，就能遠(yuǎn)程解鎖車門、啟動聯(lián)網(wǎng)車輛引擎；

　　大多數(shù)情況下,，汽車VIN碼直接展露在汽車前擋風(fēng)玻璃下方。

　　安全內(nèi)參12月2日消息，美國廣播公司Sirius XM的聯(lián)網(wǎng)車輛服務(wù)修復(fù)了一個授權(quán)漏洞,，此漏洞允許攻擊者在只知道車輛識別碼（VIN）的情況下,，遠(yuǎn)程解鎖車門、啟動聯(lián)網(wǎng)車輛引擎,。

　　研究團(tuán)隊Yuga Labs的Sam Curry發(fā)布了一系列推文介紹了此漏洞,，并表示Sirius XM發(fā)布的補丁已經(jīng)修復(fù)安全問題。

　　這個漏洞影響到了本田,、日產(chǎn),、英菲尼迪和謳歌等多個汽車品牌，Sirius XM聯(lián)網(wǎng)車輛服務(wù)發(fā)言人通過郵件發(fā)布聲明稱：

　　“我們非常重視客戶賬戶的安全,，并參與了漏洞獎勵計劃,，希望幫助識別并糾正可能對我平臺造成影響的潛在安全漏洞。作為工作的一部分,，有安全研究人員向Sirius XM的聯(lián)網(wǎng)車輛服務(wù)提交了一份報告,，上報了影響到特定遠(yuǎn)程信息處理程序的授權(quán)缺陷。該問題在報告提交的24小時內(nèi)即得到解決,。沒有任何用戶或其他數(shù)據(jù)受到損害,，也沒有任何賬戶受到這種未授權(quán)方法的篡改?！?/p>

　　今年早些時候,，Curry和其他幾位漏洞研究人員曾發(fā)現(xiàn)多個影響到不同汽車廠商的漏洞。糟糕的現(xiàn)實令他們不禁發(fā)問,，“到底是誰在為這些汽車制造商提供遠(yuǎn)程信息處理服務(wù),？”

　　答案是Sirius XM。目前謳歌,、寶馬,、本田、現(xiàn)代,、英菲尼迪,、捷豹、路虎,、雷克薩斯,、日產(chǎn)、斯巴魯和豐田使用的聯(lián)網(wǎng)汽車服務(wù)都來自該公司,。

　　研究人員們發(fā)現(xiàn),，該遠(yuǎn)程信息處理平臺其實是使用汽車的VIN碼（大多就直接展露在汽車前擋風(fēng)玻璃下方）來授權(quán)指令、獲取用戶配置信息,。

　　也就是說,，只要攻擊者知曉VIN碼（在很多車型上，只要在車旁看一下就能找到），就可以向遠(yuǎn)程信息處理平臺發(fā)送請求,，進(jìn)而遠(yuǎn)程解鎖,、啟動、定位車輛,，包括激活車上的燈光和喇叭,。

　　根據(jù)Curry的說法，該團(tuán)隊打算很快公布關(guān)于汽車入侵案例的更多調(diào)查結(jié)果,。另外,，他們還收到了關(guān)于下一步攻擊目標(biāo)和預(yù)期效果的請求。一位推特用戶請他們“下一次試試OnStar,?！?/p>

　　汽車漏洞并不鮮見

　　今年早些時候，安全研究人員還在本田汽車上發(fā)現(xiàn)過另一個漏洞,，允許惡意黑客遠(yuǎn)程啟動并解鎖2016年至2020年間生產(chǎn)的思域轎車,。

　　此漏洞被編號為CVE-2022-27254，發(fā)現(xiàn)者為馬薩諸塞大學(xué)達(dá)特茅斯分校的學(xué)生Ayyappan Rajesh和一位昵稱叫HackingIntoYourHeart的研究者,。

　　他們在研究中感謝了導(dǎo)師Sam Curry的協(xié)助,，并解釋稱“各款本田汽車在每次開門,、關(guān)門,、啟動和遠(yuǎn)程啟動時都會發(fā)送相同的、未經(jīng)加密的RF信號,。攻擊者可以竊聽請求并實施重放攻擊,。”

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<