日前,研究人员在联网汽车服务SiriusXM中发现了一个安全漏洞,该漏洞可能允许威胁行为者远程攻击多家汽车制造商的车辆,包括本田、日产、英菲尼迪等。据悉,该安全研究人员证明,远程攻击者只需知道车辆的车辆识别码 (VIN) 即可利用服务中的漏洞来解锁、启动、定位和鸣笛。
经专家分析 NissanConnect 应用程序,并联系了一些登录帐户的 Nissan 车主,以检查 HTTP 流量。很容易识别“customerId”参数的格式,它由标识符的“nissancust”前缀和指定“NISSAN_17MY”的“Cv-Tsp”标头组成。对输入的任何更改都会导致请求失败。[阅读原文]