Clicky

Vulnerabilidad de SiriusXM permite a los hackers desbloquear y arrancar automóviles conectados de forma remota

SiriusXM y ladrón

SiriusXM es utilizado por más de 10 millones de vehículos en América del Norte

Investigadores de seguridad cibernética han descubierto una vulnerabilidad de seguridad que expone a los automóviles de Honda, Nissan, Infiniti y Acura a ataques remotos a través de un servicio de vehículo conectado proporcionado por SiriusXM.

El problema podría explotarse para desbloquear, arrancar, ubicar y tocar la bocina de cualquier automóvil de manera no autorizada con solo conocer el número de identificación del vehículo (VIN), dijo la semana pasada el investigador Sam Curry en un hilo de Twitter.

Se dice que los servicios de vehículos conectados (CV) de SiriusXM son utilizados por más de 10 millones de vehículos en América del Norte, incluidos Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru y Toyota.

El sistema está diseñado para permitir una amplia gama de servicios de seguridad, protección y comodidad, como notificación automática de accidentes, asistencia en carretera mejorada, desbloqueo remoto de puertas, arranque remoto del motor, asistencia para la recuperación de vehículos robados, navegación paso a paso e integración con dispositivos domésticos inteligentes, entre otros.

La vulnerabilidad se relaciona con una falla de autorización en un programa telemático que hizo posible recuperar los datos personales de una víctima, así como ejecutar comandos en los vehículos mediante el envío de una solicitud HTTP especialmente diseñada que contiene el número VIN a un punto final de SiriusXM ("telematics.net").

consola de SiriusXM

En un desarrollo relacionado, Curry también detalló una vulnerabilidad separada que afecta a los coches Hyundai y Genesis que podría utilizarse para controlar de forma remota las cerraduras, los motores, los faros y los maleteros de los vehículos fabricados después de 2012 utilizando las direcciones de correo electrónico registradas.

A través de la ingeniería inversa de las aplicaciones MyHyundai y MyGenesis e inspeccionando el tráfico de API, los investigadores encontraron una manera de evitar el paso de validación de correo electrónico y tomar el control de las funciones de un automóvil objetivo de forma remota.

"Al agregar un carácter CRLF al final de la dirección de correo electrónico de una víctima ya existente durante el registro, pudimos crear una cuenta que omitió el JWT y la verificación de comparación de parámetros de correo electrónico", explicó Curry.

Desde entonces, SiriusXM y Hyundai han lanzado parches para corregir las fallas.

Los hallazgos se producen cuando Sandia National Laboratories resumió una serie de fallas conocidas en la infraestructura que alimenta la carga de vehículos eléctricos (EV), que podrían explotarse para robar datos de tarjetas de crédito, alterar los precios e incluso secuestrar una red completa de cargadores de EV.

Jesus_Caceres