Z tego samego względu narażone są nie tylko hondy, ale też pojazdy marek Nissan, Infinity oraz Acura. Ponadto podobny problem dotyczy hyundai'i oraz genesisów, choć tam ma nieco inną genezę.
Nowoczesne samochody w standardzie Connected Vehicle (CV) kuszą udogodnieniami takimi jak automatyczne powiadamianie o wypadkach, zdalne otwieranie drzwi czy śledzenie pojazdu skradzionego, ale mają też dość oczywisty mankament. Mianowicie są narażone na cyberataki.
Badacz Sam Curry odkrył lukę w zabezpieczeniach, która naraża samochody marek Honda, Nissan, Infiniti i Acura na zdalne ataki za pośrednictwem usługi połączonego pojazdu świadczonej przez SiriusXM.
Luka związana jest z błędem autoryzacji w usłudze telematycznej, pozwalającym na odzyskanie danych osobowych właściciela i zdalne wykonywanie poleceń poprzez wysłanie spreparowanego żądania HTTP. Jak wyjaśnia ekspert, potencjalnemu napastnikowi wystarczy numer VIN pojazdu, po czym może bez trudu wydać dowolną komendę z listy, w tym otworzyć zamki i uruchomić silnik.
Jakby tego było mało, podobną pod względem konsekwencji, choć technicznie nieco inną, podatność badacz znalazł także w samochodach Hyundai oraz Genesis. Tam również zamkami, zapłonem czy reflektorami można sterować dzięki żądaniom HTTP.
Różnica polega na tym, że producent zabezpieczył się wymagając specjalnego tokena. Ten jednak okazał się bardzo łatwy do uzyskania, bo witryna dystrybuująca tokeny, po dodaniu znaków CRLF, pozwalała założyć drugie konto na ten sam adres e-mail, wcześniej powiązany z danym autem.
Tak więc, chcąc przeprowadzić atak, zamiast numeru VIN, wymagany był adres e-mail ofiary. Niemniej poza tym to spacerek przez płotki. Tyle dobrego, że wszyscy zaangażowani wydali już stosowne aktualizacje oprogramowania.
Źródło zdjęć: fongbeerredhot / Shutterstock
Źródło tekstu: The Hacker News, oprac. własne
