MISE À JOUR : Un porte-parole de SiriusXM Connected Vehicle Services a déclaré à TechRadar Pro que la faille avait été signalée par le biais de son programme de primes de bogues et corrigée dans les 24 heures suivant le rapport initial.
Une faille de code qui aurait pu être exploitée pour permettre aux criminels d’accéder aux véhicules connectés a maintenant été corrigée, selon les rapports, les propriétaires étant invités à mettre à jour leurs systèmes immédiatement.
La faille a été trouvée dans SiriusXM Connected Vehicle Services, une suite logicielle offrant une multitude de fonctionnalités telles que les notifications automatiques d’accident, l’assistance routière améliorée, le déverrouillage des portes à distance, le démarrage à distance, l’assistance à la récupération de véhicule volé, la navigation pas à pas et l’intégration avec smart appareils domestiques.
SiriusXM Connected Vehicle Services est utilisé par un grand nombre de constructeurs automobiles, dont Honda, Nissan, Infiniti et Acura, qui étaient tous vulnérables.
VIN pour autorisation
La faille a été rendue publique par le chercheur en sécurité de Yuga Labs, Sam Curry, qui a l’habitude de trouver des failles de sécurité dans les automobiles. Dans un fil Twitter (s’ouvre dans un nouvel onglet)Curry a expliqué comment fonctionne la faille et a ajouté que SiriusXM l’avait déjà corrigée.
Apparemment, le problème provenait du fait que la plate-forme télématique utilise le numéro d’identification du véhicule (NIV) de la voiture, qui se trouve souvent sur le pare-brise, pour autoriser les commandes et saisir les profils des utilisateurs.
Cela signifie que quiconque connaît le numéro VIN peut émettre un certain nombre de commandes à distance, du déverrouillage des portes au démarrage du moteur.
Répondant aux conclusions de Le registrele porte-parole de la société a déclaré que SiriusXM avait été prévenu via son programme de chasse aux primes
« Nous prenons au sérieux la sécurité des comptes de nos clients et participons à un programme de primes de bogues pour aider à identifier et corriger les failles de sécurité potentielles affectant nos plates-formes », indique le communiqué.
« Dans le cadre de ce travail, un chercheur en sécurité a soumis un rapport aux services de véhicules connectés de Sirius XM sur une faille d’autorisation affectant un programme télématique spécifique. Le problème a été résolu dans les 24 heures suivant la soumission du rapport. À aucun moment, un abonné ou d’autres données n’ont été compromis et aucun compte non autorisé n’a été modifié à l’aide de cette méthode. »
Via : Le Registre (s’ouvre dans un nouvel onglet)