Manapság a személygépjárműveknél nagyon komplex fedélzeti rendszerek kerülnek elő, amik izgalmas lehetőségeket biztosítanak az utasok számára. Ugyanakkor a hackerek is örömmel fogadják ezeket, mert potenciális támadási felületet nyújthatnak az új biztonsági rések, amik szinte elkerülhetetlenül megjelentek az összetettebb szoftverekkel karöltve. Most a Sirius XM egy igencsak komoly hiányosságát sikerült feltárni.
A Yuga Labs egyik biztonsági mérnöke, Sam Curry egy sebezhetőségek feltárásásra szakosodott kutatócsoporttal együtt talált több olyan problémát is, és most a közösségi médiában is beszélt erről. A Sirius XM hibáját sikerült kihasználni, ez egy olyan felület, ami telematika és infotainment megoldásokat nyújt (nem összekeverendő a rádiós szolgáltatással). Éppen ezért nagyon szélesre nyílt mostanra a szoftveres lehetőségek tárháza.
Egy kibertámadás révén távolról megtehetnék a hackerek, hogy elkezdik a célba vett autó lámpáit kapcsolgatni, vagy aktiválják a dudát, de ez csak a jéghegy csúcsa. Távolról bemérhető a jármű helyzete, az integrált GPS rendszert kihasználva, ki lehet nyitni az ajtókat, és be is lehet indítani a motort. Tehát meg tudja azt tenni a hacker, hogy bejut a rendszerbe, felméri, hol van az autó, a helyszínen felvillantja a lámpákat, hogy meggyőződjön arról, melyik modell a pontos célpont, majd ki tudja nyitni és el is hajthat a motor beindítását követően.
A hackertámadáshoz elegendő mindössze egy alvázszámot ismerni.
Curry külön kitért arra, hogy az uralom átvétele az autók felett csak az egyik oldala a lehetséges visszaéléseknek. Ugyanis a Sirius XM hibáját kihasználva adatokhoz is hozzá lehet jutni, olyan adatokhoz, amik érzékenyek lehetnek.
A modern szoftveres platformokat használó személygépjárművekből olyan információkat szerezhetnek meg illetéktelenek, mint például a tulajdonos által bejárt útvonal. De a telematikai megoldások képesek a GPS adatok mellett követni a sebesség adatokat, jármű beállításokra láthatnak rá, adott esetben pedig a hívási listát és az üzenetek sorát is feltárhatják, ezeken felül pedig még egyéb adatokhoz is hozzáférhetnek.
Az ilyen adatokat különböző funkciókra használják a fejlesztők, de ma még viszonylag kevesen gondolnak bele abba, hogy ennek milyen hátrányai lehetnek. A felhasználó kényelme érdekében vannak a rendszereknek komoly jogaik, de ha hackerek bejutnak a rendszerbe, akkor ezek a dolgok rossz kezekbe kerülhetnek. A Sirius XM telematika és infotainment megoldásait napjainkba legalább 12 millió autó használja már.
Elárulta Sam Curry, hogy az autókhoz kapcsolótó alkalmazásoknál egyszerű HTTP lekéréssel tudta megszerezni a felhasználók nevét, telefonszámát és címét a jármű adatain felül. De azt is hozzátette, hogy miután a hibát bemutatta a Sirius XM-nek, 24 órán belül készen volt a javítás, ami a sebezhetőséget felszámolta.
Az ügyben rengeteg járműtípus lehet érintett, ugyanis számos vállalattal dolgozik együtt a cég. A klienseinek sorában ott van a BMW, a Jaguar, a Land Rover, a Lexus, a Nissan, a Toyota, a Subaru, valamint a Honda, és annak almárkája, az Acura is. Hogy a hiba pontosan milyen járműveket érinthetett, azt nem tudni, de milliós nagyságrendben lehetnek az utakon olyan modellek, amik érintettek lehetnek.
A Sirius XM hibája mellett egy másik olyan biztonsági rést is felfedeztek a szakemberek. Ez a probléma a MyHyundai és a MyGenesis applikációkban jelent meg. A sérülékenység kihasználásával át lehetett venni az adott jármű felett az uralmat. A hibát feltáró csapat elmondta, hogy a Hyundai a hiba elhárításában közreműködött, külső szakembereket is bevonva gondoskodott arról, hogy ebből ne legyen probléma. Kiemelték azt is, hogy nincs annak nyoma, hogy visszaélést követett volna el bárki. A fentebb említett Sirius XM hiba pedig a Hyundai és a Genesis modelleket nem érintette, itt egy másik sebezhetőségről van már szó.
Az elmúlt években számos alkalommal tártak már fel olyan sebezhetőségeket, amik személyautókat érintettek, a jövőben pedig csak még több ilyen lehet, ha a gyártóók nem veszik elég komolyan a biztonságot. Eredetileg az autók fedélzeti rendszereit éveken át tesztelték, de mióta a felhasználói igények megváltoztak, azóta ez már nem fér bele.