Исследователи смогли получить удаленный доступ к автомобилям с помощью VIN-номера

Это та самая штука, которую у некоторых машин можно увидеть прямо под стеклом.

Исследователь Сэм Карри и его коллеги смогли получить несанкционированный доступ к автомобилям нескольких производителей: например, Infinity, Acura и Nissan. Доступ был получен благодаря сервису SiriusXM, предоставляющему автопроизводителям услуги по дистанционному управлению машинами.

Карри и команда изучили инфраструктуру SiriusXM и исследовали мобильные приложения, с помощью которых владельцы автомобилей управляют своими машинами. Исследование запросов приложения Nissan Connect показало, что для авторизации нужно передать лишь VIN-номер автомобиля.

Это набор символов, в котором закодирован автопроизводитель, некоторые параметры машины и другие детали. У каждого автомобиля VIN уникален, узнать его может быть очень легко: некоторые производители размещают VIN прямо под лобовым стеклом.

Отправив запрос с VIN-номером машины, исследователи получили токен авторизации и обнаружили, что теперь у них есть полный доступ ко всем функциям. Можно было дистанционно управлять машинами и получать определенные личные данные их владельцев.

Обнаружив уязвимость, Карри и команда сообщили о ней SiriusXM. Компания быстро ее устранила и исследователи получили возможность рассказать о найденной проблеме.