Peretas menemukan cara untuk mengakses informasi pribadi Anda dan mencuri mobil Anda secara bersamaan

Dalam konteks: Aplikasi jarak jauh untuk mobil sangat nyaman. Saya suka start jarak jauh Subaru Legacy untuk membuatnya sedikit hangat sekarang karena semakin dingin. Namun, fitur ini bukan tanpa beberapa risiko. Beberapa dihitung. Misalnya, Anda dapat membatasi kemungkinan mobil dicuri dengan tidak membuka kunci atau menyalakan mobil kecuali jika Anda berhadapan langsung. Ancaman lain berada di luar jangkauan Anda, seperti keamanan aplikasi jarak jauh.

Aplikasi mobil jarak jauh yang nyaman yang memungkinkan Anda untuk memulai, membuka kunci, membunyikan klakson, dan bahkan menemukan mobil Anda dari ponsel mungkin tidak seaman yang Anda kira. Peretas telah menemukan cara untuk melakukan semua hal ini tanpa memerlukan kredensial login Anda.

Trik-nya sebuah pekerjaan Untuk banyak merek, termasuk kendaraan Acura, Honda, Infiniti dan Nissan. Itu juga dapat bekerja pada BMW, Hyundai, Jaguar, Land Rover, Lexus, Subaru dan Toyota karena mereka semua menggunakan penyedia jarak jauh yang sama. Daftar mobilnya cukup banyak karena SiriusXM tampaknya menjadi perusahaan yang menangani layanan jarak jauh untuk semua pabrikan ini.

Lebih banyak peretasan mobil!

Awal tahun ini, kami dapat membuka kunci, menyalakan, menemukan, mem-flash, dan meluncurkan mobil Honda, Nissan, Infiniti, dan Acura dari jarak jauh, sepenuhnya tidak sah, hanya mengetahui nomor VIN kendaraan.

Inilah cara kami menemukannya dan cara kerjanya: pic.twitter.com/ul3A4sT47k

– Sam Curry (@samwcyo) 30 November 2022

Peretas tidak menyadari bahwa SiriusXM bahkan ada di lini bisnis ini, seperti yang dikenal dengan pekerjaan radio satelitnya. Namun, jika Anda memiliki salah satu merek ini, Anda mungkin sudah mengetahui bahwa SiriusXM ada di balik layanan jarak jauh mobil Anda di mana Anda harus membuat akun untuk menggunakannya.

Peretas yang memproklamirkan diri, pemburu hadiah bug, dan insinyur keamanan staf untuk Yoga Labs Kari Sam Dia menjelaskan di utas Twitter bahwa yang dia dan timnya butuhkan untuk mengakses profil pengemudi mana pun hanyalah Nomor Identifikasi Kendaraan (VIN). Kode ini unik untuk semua mobil. Namun, mudah diakses dengan berjalan kaki melalui tempat parkir mana pun karena dapat dilihat melalui kaca depan di dasbor sebagian besar kendaraan.

Butuh beberapa waktu bagi para peneliti untuk merekayasa ulang aplikasi, tetapi karena SiriusXM meletakkan semua telurnya dalam satu keranjang, mereka hanya membutuhkan satu bukti konsep – NissanConnect. Mereka menghubungi seseorang yang memiliki Nissan dan meminjam kredensial mereka untuk menggali lebih dalam proses otentikasi.

Saat menjelajahi rute ini, kami terus melihat referensi SiriusXM dalam kode sumber dan dokumentasi telematika AV.

Ini sangat menyenangkan bagi kami, karena kami tidak tahu SiriusXM menawarkan fungsionalitas manajemen kendaraan jarak jauh, tetapi ternyata memang begitu! pic.twitter.com/Thxkdkdhn4

– Sam Curry (@samwcyo) 30 November 2022

Aplikasi bekerja dengan berkomunikasi dengan domain yang dimiliki oleh SiriusXM, dan bukan dengan pabrikan mobil, seperti yang dipikirkan secara intuitif. Melalui coba-coba, Curry menemukan bahwa satu-satunya parameter aplikasi NissanConnect dan server autentikasi yang dihosting adalah ID Pelanggan. Mengubah domain lain, seperti “vin”, tidak berpengaruh.

Saat menyelidiki, tim menemukan bahwa kolom customerId memiliki awalan “nissancust” dan header “Cv-Tsp” yang mencantumkan “NISSAN_17MY” untuk kendaraan uji. Jika mereka mengubah salah satu dari variabel ini, permintaan akan gagal. Jadi mereka meletakkan titik akhir di belakang pembakar dan fokus pada orang lain.

Beberapa jam kemudian, para peneliti menemukan respons HTTP berformat vin [that] Itu tampak sangat mirip dengan awalan “nissancust” dari permintaan HTTP sebelumnya. Jadi mereka mencoba mengirim ID pra-VIN sebagai ID pelanggan. Anehnya, itu mengembalikan token pembawa, yang merupakan momen eureka. Mereka mencoba menggunakan token pembawa untuk mengirim permintaan pengambilan untuk profil pengguna, dan berhasil!

Format parameter ‘customerId’ menarik karena ada awalan ‘nissancust’ untuk ID bersama dengan header ‘Cv-Tsp’ yang menentukan ‘NISSAN_17MY’.

Saat kami mengubah salah satu masukan ini, permintaan itu gagal.

– Sam Curry (@samwcyo) 30 November 2022

Para peneliti dapat mengakses berbagai informasi pelanggan melalui HTTP, termasuk nama korban, nomor telepon, alamat, dan detail kendaraan. Menggunakan ini sebagai kerangka kerja, mereka membuat skrip python untuk mengakses detail pelanggan untuk setiap PIN yang dimasukkan. Dorongan dan dorongan lebih lanjut membuat Carrie menemukan bahwa dia tidak hanya dapat melihat informasi akun tetapi juga menggunakan akses untuk mengirim permintaan perintah ke kendaraan.

“Kami dapat menjalankan perintah pada kendaraan dan mengambil informasi pengguna dari akun hanya dengan mengetahui VIN korban, sesuatu yang ada di kaca depan,” cuit Carey. Kami telah dapat membuka kunci jarak jauh, memulai, menemukan, mem-flash, dan membuka kunci kendaraan Honda, Nissan, Infiniti, dan Acura dari jarak jauh yang sepenuhnya tidak sah hanya dengan mengetahui nomor VIN. [sic] untuk mobil.”

“200 OK” kembali dan mengembalikan token pembawa! Ini mengasyikkan, kami membuat beberapa token dan VIN arbitrer sedang diindeks sebagai ID.

Untuk memastikan ini tidak terkait dengan sesi JWT kami, kami menghapus parameter otorisasi sepenuhnya dan masih berfungsi! pic.twitter.com/zCdCHQfCcY

– Sam Curry (@samwcyo) 30 November 2022

Selain itu, panggilan API layanan jarak jauh berfungsi bahkan jika pengguna tidak lagi memiliki langganan SiriusXM yang aktif. Carey juga mengindikasikan bahwa dia dapat mendaftarkan atau membatalkan pendaftaran pemilik kendaraan dari layanan tersebut sesuka hati.

Jangan panik jika Anda memiliki salah satu merek ini dan telah menggunakan fungsi jarak jauhnya. Yuga Labs menghubungi SiriusXM tentang kerentanan tersebut, dan mereka segera mengeluarkan tambalan sebelum para peneliti mengumumkan kerentanan tersebut awal pekan ini.