互联汽车服务SiriusXM存漏洞，利用可远程攻击汽车

日前，研究人员在联网汽车服务SiriusXM中发现了一个安全漏洞，该漏洞可能允许威胁行为者远程攻击多家汽车制造商的车辆，包括本田、日产、英菲尼迪等。据悉，该安全研究人员证明，远程攻击者只需知道车辆的车辆识别码 (VIN) 即可利用服务中的漏洞来解锁、启动、定位和鸣笛。

经专家分析 NissanConnect 应用程序，并联系了一些登录帐户的 Nissan 车主，以检查 HTTP 流量。很容易识别“customerId”参数的格式，它由标识符的“nissancust”前缀和指定“NISSAN_17MY”的“Cv-Tsp”标头组成。对输入的任何更改都会导致请求失败。[阅读原文]