해커는 Sirius XM의 결함을 악용하여 원격으로 잠금을 해제하고 자동차 경적을 울립니다.

인터넷 연결 차량 시대에 새로 발견된 사이버 보안 문제는 자동차를 "훔치는" 것의 의미를 재정의하고 있습니다.

Yuga Labs의 직원 보안 엔지니어이자 자칭 해커인 Sam Curry의 최근 실험에서 그의 팀은 Sirius XM 소프트웨어의 취약점을 활용하여 공개적으로 사용 가능한 차량 식별 번호(VIN)를 사용하여 차량에 대한 원격 액세스 권한을 얻을 수 있었습니다. , The Verge 보고서(새 창에서 열림).

SiriusXM Connected Services 우산에는 인포테인먼트 및 텔레매틱스 시스템(새 창에서 열림)이 포함되어 있으며 다음을 포함하여 15개 이상의 OEM에서 사용됩니다.아큐라, BMW, 혼다, 현대, 인피니티, 재규어, 랜드로버, 렉서스, 닛산, 스바루, 토요타.

MyHonda 또는 Nissan Connect(새 창에서 열림)와 같은 차량 애플리케이션에는 Sirius XM이 통합되어 있습니다. 그래서 Curry는 해킹 실험을 위해 친구에게 Nissan 계정을 요청하고 로그인했습니다. 이를 통해 그는 Nissan 앱에 액세스하여 백엔드를 검사할 수 있었습니다.

Curry는 보안 시스템에 로그인 허점이 있음을 발견했습니다. 다른 사람의 계정에 액세스하기 위해 고유한 사용자 이름과 비밀번호가 필요하지 않았습니다. 대신 Curry는 모든 차량의 앞 유리에 공개적으로 게시된 VIN만 입력할 수 있습니다.

그런 다음 팀은 VIN을 사용하여 차량 명령을 실행하여 원격으로 시동, 잠금 해제, 위치 파악, 조명 깜박임, 경적 울림 등을 수행할 수 있는 Python 스크립트를 작성했습니다. 이론적으로 악의적인 행위자는 해당 지역의 모든 차량에서 VIN을 복사하여 스크립트에 연결하고 차량 잠금을 해제하여 내부의 물건을 훔칠 수 있습니다.

또 다른 위험도 드러났습니다. Curry의 프로그램은 자동차의 주소, 이름, 전화번호, 위도/경도와 같은 개인 고객 정보에 액세스했습니다. 해커는 위도와 경도를 사용하여 정기적으로 자동차를 추적하고 알려진 위치를 사용하여 소유자의 집에서 사악한 활동을 계획하는 등 다양한 방법으로 이 정보를 사용할 수 있습니다.

커리는 자신의 트위터에 “이 시점에서 우리는 닛산 외에 혼다, 인피니티, 아큐라 차량에서도 고객 정보에 접근하고 차량 명령을 실행할 수 있다는 것을 확인했다”고 밝혔다. "우리는 문제를 즉시 수정하고 패치를 검증한 SiriusXM에 보고했습니다."

Sirius XM 대변인은 The Verge에 "이 방법을 사용하여 가입자나 기타 데이터가 손상되지 않았으며 승인되지 않은 계정이 수정된 적이 없습니다"라고 말했습니다.

SecurityWatch에 가입하세요받은 편지함으로 바로 전달되는 최고의 개인 정보 보호 및 보안 관련 뉴스레터입니다.

이 뉴스레터에는 광고, 거래 또는 제휴사 링크가 포함될 수 있습니다. 뉴스레터를 구독한다는 것은 당사의 이용약관과 개인정보 보호정책에 동의한다는 것을 의미합니다. 귀하는 언제든지 뉴스레터 구독을 취소할 수 있습니다.

귀하의 구독이 확인되었습니다. 받은편지함을 주의 깊게 살펴보세요!