Cacat Kode SiriusXM Aneh Dituduh Membuka Kunci Kendaraan Cerdas

Cacat Kode SiriusXM Aneh Dituduh Membuka Kunci Kendaraan Cerdas

UPDATE: Seorang juru bicara SiriusXM Connected Vehicle Services memberi tahu TechRadar Pro bahwa bug tersebut dilaporkan melalui program bug bounty dan diperbaiki dalam waktu 24 jam sejak laporan awal.

Menurut laporan, kerentanan kode yang dapat dieksploitasi untuk memungkinkan penjahat mengakses kendaraan yang terhubung telah diperbaiki, dan pemilik didesak untuk segera memperbarui sistem mereka.

Kerentanan itu ditemukan di SiriusXM Connected Vehicle Services, rangkaian perangkat lunak yang menawarkan banyak fitur seperti pemberitahuan kecelakaan otomatis, bantuan sisi jalan yang ditingkatkan, buka kunci pintu jarak jauh, start jarak jauh, bantuan pemulihan kendaraan curian, navigasi langkah demi langkah dan integrasi dengan smart perangkat rumah.

Layanan Kendaraan Terhubung SiriusXM digunakan oleh banyak pembuat mobil, termasuk Honda, Nissan, Infiniti, dan Acura, yang semuanya rentan.

VIN untuk otorisasi

Kerentanan tersebut dipublikasikan oleh peneliti keamanan Yuga Labs, Sam Curry, yang memiliki pengalaman menemukan kerentanan pada mobil. Di utas Twitter (terbuka di tab baru) Curry menjelaskan cara kerja kesalahan dan menambahkan bahwa SiriusXM telah memperbaikinya.

Rupanya masalah tersebut berasal dari fakta bahwa platform telematika menggunakan Nomor Identifikasi Kendaraan (VIN), yang sering ditemukan di kaca depan, untuk mengesahkan perintah dan mengambil profil pengguna.

Artinya, siapa pun yang memiliki nomor VIN dapat mengeluarkan berbagai perintah dari jarak jauh, mulai dari membuka pintu hingga menghidupkan mesin.

Menanggapi temuan di Registera, juru bicara perusahaan mengatakan SiriusXM telah disiagakan melalui program perburuan hadiah

“Kami menjaga keamanan akun pelanggan kami dengan serius dan berpartisipasi dalam program hadiah bug untuk membantu mengidentifikasi dan memperbaiki potensi kerentanan yang memengaruhi platform kami,” bunyi pernyataan itu.

“Sebagai bagian dari pekerjaan ini, seorang peneliti keamanan mengirimkan laporan ke Layanan Kendaraan Terhubung Sirius XM tentang kegagalan otorisasi yang memengaruhi program telematika tertentu. Masalah ini diselesaikan dalam waktu 24 jam setelah mengirimkan permintaan. Tidak pernah ada pelanggan atau data lain yang disusupi, juga tidak ada akun yang tidak sah yang dimodifikasi menggunakan metode ini.”

Oleh: Daftar (terbuka di tab baru)

Author: Lawrence Carter