數位廣播電臺SiriusXM漏洞成為駭客入侵汽車的管道

參與多項漏洞獎勵計畫的白帽駭客Sam Curry本周揭露，該團隊可自遠端解鎖、啟動、定位或存取Honda、Nissan、Infiniti與Acura等眾多品牌的汽車，只因為它們都使用了同樣的衛星廣播服務SiriusXM，且該服務暗藏了一個身分認證漏洞。

Curry說明，他們先是在不同的汽車上的車載資訊系統（Telematics）發現允許遠端存取的安全漏洞，進而好奇車載資訊系統供應商的身分，卻發現兇手是美國知名的衛星廣播服務SiriusXM。

Sirius XM為美國的數位及衛星廣播服務供應商，提供各種與聲音有關的數位娛樂，不管是音樂、運動、談話節目或播客等，號稱是北美最大的數位音訊供應商，其SiriusXM服務安裝在美國所有主要汽車品牌的新車上，就算是中古車也有接近一半內建了SiriusXM。

而Curry則發現，SiriusXM所支援的車款涵蓋了Acura、BMW、Honda、Hyundai、Infiniti、Jaguar、Land Rover、Lexus、Nissan、Subaru與Toyota。

研究顯示，SiriusXM系統含有一個身分認證漏洞，由於SiriusXM被整合在不同品牌的車載資訊系統上，於是便可藉由該漏洞挾持車載資訊系統，只要知道汽車的識別碼（VIN），就能存取汽車與車主資訊、遠端解鎖及啟動汽車、定位汽車或閃燈等。

在《Gizmodo》向Sirius XM求證之後，Sirius XM坦承該漏洞的存在，並說已在收到Curry的漏洞報告之後的24小時內便完成修補。