Sirius XM'nin bağlantılı araç hizmetlerini etkileyen bir güvenlik açığı, bilgisayar korsanlarının arabaları uzaktan başlatmasına, kilidini açmasına, yerini belirlemesine, ışıkları yakmasına ve korna çalmasına izin verebilirdi. Yuga Labs'ta bir güvenlik mühendisi olan Sam Curry, açığı keşfetmek için bir grup güvenlik araştırmacısıyla birlikte çalıştı ve bulgularını Twitter'da ( Gizmodo aracılığıyla ) bir ileti dizisinde özetledi.
Sirius XM, uydu radyo aboneliği sağlamanın yanı sıra Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru ve Toyota dahil olmak üzere bir dizi otomobil üreticisi tarafından kullanılan telematik ve bilgi-eğlence sistemlerine de güç veriyor. . Bu sistemler, arabanız hakkında gözden kaçırması kolay olan ve potansiyel mahremiyet etkileri doğurabilecek birçok bilgi toplar. Geçen yıl, Vice'tan gelen bir rapor, dikkatleri 15 milyardan fazla arabanın telematik temelli konum bilgisini ABD hükümetine satmayı planlayan bir casus firmasına çekti.
Telematik sistemleri aracınızın GPS konumu, hızı, adım adım navigasyonu ve bakım gereksinimleri hakkında veri alırken, belirli bilgi-eğlence kurulumları arama günlüklerini, sesli komutları, metin mesajlarını ve daha fazlasını izleyebilir. Tüm bu veriler, araçların otomatik çarpışma algılama, uzaktan motor çalıştırma, çalıntı araç uyarıları, navigasyon ve arabanızı uzaktan kilitleme veya kilidini açma gibi "akıllı" özellikler sunmasına olanak tanır. Sirius XM tüm bu özellikleri ve daha fazlasını sunuyor ve yollardaki 12 milyondan fazla aracın bağlantılı araç sistemlerini kullandığını söylüyor .
Ancak, Curry'nin gösterdiği gibi, uygun önlemler alınmadığı takdirde kötü aktörler bu sistemden yararlanabilir. Curry, Gizmodo'ya yaptığı açıklamada, Sirius XM'in "bu verilerin gönderilmesi/alınması etrafında bir altyapı oluşturduğunu ve müşterilerin MyHonda veya Nissan Connected gibi bir tür mobil uygulama kullanarak kimliklerini doğrulamalarına izin verdiğini" söylüyor. Kullanıcılar, araçlarının VIN numarasına bağlı bu uygulamalar üzerinden hesaplarına giriş yaparak komutları çalıştırabilir ve araçları hakkında bilgi alabilir.
Sirius XM, uygulama ile sunucuları arasında bilgi ve komutları aktarmak için bir kişinin hesabına bağlı VIN numarasını kullandığından, Curry, kötü aktörlerin birinin arabasına erişmesini sağlayabilecek şeyin bu sistem olduğunu açıklıyor. Curry, bir kullanıcının profilini VIN ile almak için bir HTTP isteği oluşturarak araç sahibinin adını, telefon numarasını, adresini ve araba ayrıntılarını alabildiğini söylüyor. Daha sonra VIN'i kullanarak komutları çalıştırmayı denedi ve aracı uzaktan kontrol edebildiğini, aracı kilitlemesine veya kilidini açmasına, arabayı çalıştırmasına ve diğer işlevleri gerçekleştirmesine olanak tanıdığını keşfetti.
Curry, kusur hakkında Sirius XM'i uyardığını ve şirketin hatayı hızla düzelttiğini söylüyor. Şirket, Gizmodo'ya yaptığı açıklamada, güvenlik açığının "rapor gönderildikten sonraki 24 saat içinde çözüldüğünü" söyledi ve "hiçbir noktada hiçbir abonenin veya diğer verilerin güvenliğinin ihlal edilmediğini ve bu yöntem kullanılarak herhangi bir yetkisiz hesabın değiştirilmediğini" belirtti. Sirius XM, The Verge'in yorum talebine hemen yanıt vermedi.
Ayrı bir gelişmede Curry, MyHyundai ve MyGenesis uygulamalarında, bilgisayar korsanlarının bir aracı uzaktan ele geçirmesine izin verebilecek başka bir kusur daha ortaya çıkardı , ancak sorunu çözmek için otomobil üreticisiyle birlikte çalıştığını söyledi. Beyaz şapkalı bilgisayar korsanları geçmişte benzer istismarlar bulmuşlardır. 2015 yılında bir güvenlik araştırmacısı, kötü aktörlerin bir aracı uzaktan bulmasına, kapılarını açmasına veya arabayı çalıştırmasına izin verebilecek bir OnStar hack'ini ortaya çıkardı . Aynı sıralarda, Wired'den bir rapor, bir Jeep Cherokee'nin nasıl uzaktan hacklenebileceğini ve direksiyondaki biri tarafından kontrol edilebileceğini gösterdi .