در متن: برنامه های از راه دور برای اتومبیل ها یک راحتی عالی هستند. من دوست دارم سوبارو لگاسی خود را از راه دور راه اندازی کنم تا اکنون که هوا در حال سرد شدن است، اجازه بدهم کمی گرم شود. با این حال، این ویژگی ها بدون خطر نیستند. برخی محاسبه می شوند. برای مثال، میتوانید خطر سرقت خودرو را با باز نکردن یا روشن نکردن قفل خودرو محدود کنید، مگر اینکه دید مستقیم داشته باشید. تهدیدهای دیگر از دست شما خارج است، مانند امنیت برنامه از راه دور.
آن برنامههای ماشین از راه دور راحت که به شما امکان راهاندازی، باز کردن قفل، بوق زدن و حتی مکانیابی ماشین خود را از تلفنتان میدهند، ممکن است آنقدر که فکر میکردید ایمن نباشند. هکرها راهی برای انجام همه این کارها بدون نیاز به اعتبار ورود شما پیدا کردند.
حیله کار کرد برای چندین برند از جمله خودروهای آکورا، هوندا، اینفینیتی و نیسان. همچنین ممکن است روی BMW، هیوندای، جگوار، لندرور، لکسوس، سوبارو و تویوتا کار کند زیرا همه آنها از یک ارائه دهنده تلماتیک استفاده می کنند. لیست خودروها بسیار گسترده بود، زیرا به نظر می رسد SiriusXM شرکتی است که خدمات از راه دور را برای همه این تولیدکنندگان انجام می دهد.
هک ماشین بیشتر!
در اوایل سال جاری، ما قادر بودیم تمام وسایل نقلیه هوندا، نیسان، اینفینیتی و آکورا را که از راه دور متصل بودند، کاملاً غیرمجاز و تنها با دانستن شماره VIN خودرو، از راه دور باز، استارت، مکان یابی، فلاش و بوق بزنیم.
در اینجا نحوه یافتن آن و نحوه عملکرد آن آمده است: pic.twitter.com/ul3A4sT47k
– سم کاری (@samwcyo) 30 نوامبر 2022
هکرها نمیدانستند که SiriusXM حتی در این زمینه فعالیت دارد، زیرا بیشتر به خاطر عملکرد رادیویی ماهوارهای خود شناخته میشود. با این حال، اگر شما صاحب هر یک از این برندها هستید، احتمالاً از قبل میدانید که SiriusXM پشت سرویسهای راه دور خودروی شما قرار دارد، زیرا برای استفاده از آنها باید یک حساب کاربری ایجاد کنید.
هکر خودخوانده، شکارچی باگ و مهندس امنیت کارکنان آزمایشگاه یوگا سام کاری در یک موضوع توییتری توضیح داد که تنها چیزی که او و تیمش برای دسترسی به مشخصات راننده نیاز داشتند، شماره شناسایی خودرو (VIN) بود. این کد برای همه خودروها منحصر به فرد است. با این حال، با قدم زدن از طریق هر پارکینگی به راحتی قابل دسترسی است، زیرا از طریق شیشه جلو روی داشبورد اکثر وسایل نقلیه قابل مشاهده است.
مدتی طول کشید تا محققان برنامهها را مهندسی کنند، اما از آنجایی که SiriusXM تمام تخمهای خود را در یک سبد قرار داد، برای اثبات مفهوم فقط به یک سبد نیاز داشتند – NissanConnect. آنها با شخصی که صاحب یک نیسان بود تماس گرفتند و اعتبار آنها را به امانت گرفتند تا روند احراز هویت را بیشتر بررسی کنند.
در حین کاوش در این مسیر، ما مدام مشاهده کردیم که SiriusXM در کد منبع و اسناد مربوط به تلهماتیک وسایل نقلیه ارجاع شده است.
این برای ما بسیار جالب بود، زیرا نمیدانستیم SiriusXM هیچ عملکرد مدیریت از راه دور خودرو را ارائه میدهد، اما به نظر میرسد که آنها این کار را میکنند! pic.twitter.com/Thxkdkdhn4
– سم کاری (@samwcyo) 30 نوامبر 2022
برنامهها با ارتباط با دامنهای که متعلق به SiriusXM است، کار میکنند، نه با سازنده خودرو، همانطور که به طور مستقیم فکر میکنید. از طریق آزمون و خطا، Curry دریافت که تنها پارامتری که برنامه NissanConnect و سرور احراز هویت میزبانی شده به آن اهمیت میدهند «customerId» است. تغییر فیلدهای دیگر، مانند “vin” هیچ تاثیری نداشت.
در حین جستجو، تیم متوجه شد که فیلد customerId دارای یک پیشوند “nissancust” و یک هدر “Cv-Tsp” است که “NISSAN_17MY” را برای خودروی آزمایشی مشخص کرده است. اگر هر یک از این متغیرها را تغییر دهند، درخواستها با شکست مواجه میشوند. بنابراین آنها آن نقطه پایانی را در پشت سر گذاشتند و روی دیگران تمرکز کردند.
چند ساعت بعد، محققان با پاسخ HTTP مواجه شدند که دارای فرمت vin بود [that] به طور وحشتناکی شبیه پیشوند “nissancust” از درخواست HTTP قبلی بود.” بنابراین آنها سعی کردند شناسه پیشوند VIN را به عنوان شناسه مشتری ارسال کنند. در کمال تعجب، یک توکن حامل را برگرداند که چیزی شبیه به لحظه یورکا بود. آنها سعی کردند از حامل استفاده کنند. توکن برای ارسال درخواست واکشی برای نمایه کاربر، و کار کرد!
فرمت پارامتر “customerId” جالب بود زیرا یک پیشوند “nissancust” به شناسه همراه با هدر “Cv-Tsp” وجود داشت که “NISSAN_17MY” را مشخص می کرد.
وقتی یکی از این ورودی ها را تغییر دادیم، این درخواست ناموفق بود.
– سم کاری (@samwcyo) 30 نوامبر 2022
محققان از طریق HTTP به اطلاعات مشتریان مختلف از جمله نام قربانی، شماره تلفن، آدرس و جزئیات خودرو دسترسی پیدا کردند. با استفاده از این به عنوان یک چارچوب، آنها یک اسکریپت پایتون برای دسترسی به جزئیات مشتری هر VIN وارد شده ایجاد کردند. تکان دادن و تکان دادن بیشتر باعث شد تا کری متوجه شود که نه تنها می تواند اطلاعات حساب را مشاهده کند، بلکه از دسترسی برای ارسال درخواست های فرمان به ماشین نیز استفاده می کند.
کری در توییتی نوشت: «ما میتوانیم دستورات را بر روی وسایل نقلیه اجرا کنیم و اطلاعات کاربران را از حسابها فقط با دانستن شماره VIN قربانی، چیزی که روی شیشه جلو بود، دریافت کنیم. “ما توانستیم از راه دور قفل را باز کنیم، راه اندازی کنیم، مکان یابی کنیم، فلاش بزنیم، و هر وسیله نقلیه ای که از راه دور هوندا، نیسان، اینفینیتی و آکورا متصل بودند را کاملاً غیرمجاز و فقط با دانستن شماره VIN بوق بزنیم. [sic] از ماشین.”
“200 OK” را برگرداند و یک توکن حامل را برگرداند! این هیجان انگیز بود، ما در حال تولید مقداری توکن بودیم و VIN دلخواه را به عنوان شناسه نمایه می کرد.
برای اطمینان از اینکه این مربوط به جلسه JWT ما نیست، پارامتر Authorization را به طور کامل حذف کردیم و همچنان کار می کرد! pic.twitter.com/zCdCHQfCcY
– سم کاری (@samwcyo) 30 نوامبر 2022
علاوه بر این، تماسهای API برای خدمات از راه دور حتی اگر کاربر دیگر اشتراک SiriusXM فعال نداشته باشد، کار میکند. کری همچنین خاطرنشان کرد که می تواند مالکان وسایل نقلیه را به دلخواه خود ثبت نام کند یا از این سرویس خارج کند.
اگر یکی از این مدل ها را دارید وحشت نکنید و از عملکرد ریموت آن استفاده کنید. آزمایشگاه یوگا با SiriusXM در مورد حفره امنیتی شکاف تماس گرفت و بلافاصله قبل از اینکه محققان آسیبپذیری را در اوایل این هفته اعلام کنند، وصلهای را منتشر کرد.