Hakerom wystarczy VIN, by przejąć kontrolę nad samochodem

Producenci samochodów coraz częściej wyposażają je w aplikacje zapewniające zdalny dostęp do niektórych funkcji. Mają ułatwić życie kierowcom, umożliwiając m.in. zlokalizowanie auta na dużym parkingu, przewietrzenie wnętrza w letni dzień, a nawet odblokowanie zamków oraz uruchomienie silnika. Tymczasem w rękach hakerów mogą stać się narzędziem ułatwiającym przejęcie kontroli nad pojazdem.

O takim ich wykorzystaniu donosi Sam Curry, inżynier z firmy Yuga Labs, który opisał nowe zagrożenie na swym koncie na Twitterze. Odkrył lukę w platformie SiriusXM, znanej głównie z satelitarnego radia, która dodatkowo zapewnia zdalny dostęp do funkcji pojazdu. Twierdzi, że mając jedynie VIN auta, był w stanie zdalnie odblokować zamki, uruchomić silnik, zlokalizować samochód, błysnąć światłami, a także użyć klaksonu. Zrobił to w wozach takich marek jak Honda, Nissan, Infiniti oraz Acura.

Haker objaśnił swe działania na przykładzie pożyczonego Nissana oraz rozpracowania firmowej aplikacji NissanConnect, umożliwiającej zdalne kontrolowanie pojazdu. Za pomocą VIN-u uzyskał dostęp do profilu kierowcy, a następnie przejął kontrolę nad autem. Zdobycie samego numeru było najłatwiejszą częścią zadania, gdyż w nowych modelach jest powszechnie dostępny – znajduje się na podszybiu. Później było znacznie trudniej, gdyż wymagało to analizy ruchu generowanego przez aplikację oraz jej zabezpieczeń. Metodą prób i błędów udało się jednak osiągnąć „sukces”.

Nowy sposób na kradzież pojazdu

Zespół stworzył specjalny skrypt, który za pomocą wprowadzonego VIN-u (unikalny numer identyfikacyjny pojazdu nadany przez producenta) pozwala wyciągnąć z aplikacji dane klienta. Później odkryto jednak, że pozwala on nie tylko przeglądać informacje o koncie, ale również wysyłać polecenia do auta. W ten sposób haker mógł zdalnie odblokować zamki i uruchomić silnik w praktycznie każdym pojeździe Hondy, Nissana, Infiniti oraz Acury. Prócz tego mógł zlokalizować samochód, błysnąć światłami oraz użyć klaksonu.

Właściciele takich modeli nie muszą się jednak martwić. Yuga Labs skontaktowało się już z SiriusXM, by poinformować firmę o odkrytej luce w zabezpieczeniach platformy. Ta oczywiście natychmiast przygotowała łatkę, którą udostępniła dla pojazdów, jeszcze zanim eksperci ogłosili swe odkrycie.

Aplikacja NissanConnect. Źródło: Nissan.

Powyższa sytuacja pokazuje jednak, jak dużym zagrożeniem mogą być nowoczesne technologie montowane na pokładzie samochodów. W założeniach mają chronić pojazd przed kradzieżą, a tymczasem mogą ją znacznie ułatwić.

Marek Pluta

Marek Pluta

Od lat związany z serwisami internetowymi zajmującymi się tematyką gier oraz nowoczesnych technologii. Przez wiele lat współpracował m.in. z portalami Onet i Wirtualna Polska, a także innymi serwisami oraz czasopismami, gdzie zajmował się m.in. pisaniem newsów i recenzowaniem popularnych gier, jak również testowaniem najnowszych akcesoriów komputerowych. Wolne chwile lubi spędzać na rowerze, zaś podczas złej pogody rozrywkę zapewnia mu dobra książka z gatunku sci-fi. Do jego ulubionych gatunków należą strzelanki oraz produkcje MMO.