सीरियस एक्सएम की कनेक्टेड वाहन सेवाओं को प्रभावित करने वाली भेद्यता हैकर्स को दूरस्थ रूप से शुरू करने, अनलॉक करने, पता लगाने, रोशनी को फ्लैश करने और कारों पर हॉर्न बजाने की अनुमति दे सकती है। युग लैब्स के एक सुरक्षा इंजीनियर सैम करी ने दोष की खोज के लिए सुरक्षा शोधकर्ताओं के एक समूह के साथ काम किया और अपने निष्कर्षों को रेखांकित किया ट्विटर पर एक धागा (के जरिए गिज़्मोडो).

एक उपग्रह रेडियो सदस्यता प्रदान करने के अलावा, सीरियस एक्सएम एक्यूरा, बीएमडब्ल्यू, होंडा, हुंडई, इनफिनिटी, जगुआर, लैंड रोवर, लेक्सस, निसान, सुबारू और टोयोटा सहित कई ऑटो निर्माताओं द्वारा उपयोग किए जाने वाले टेलीमैटिक्स और इंफोटेनमेंट सिस्टम को भी शक्ति प्रदान करता है। . ये सिस्टम कलेक्ट करते हैं बहुत सारी जानकारी आपकी कार के बारे में जिसे नज़रअंदाज़ करना आसान है — और इससे संभावित गोपनीयता निहितार्थ हो सकते हैं। पिछले साल, ए से रिपोर्ट उपाध्यक्ष एक जासूसी फर्म की ओर ध्यान आकर्षित किया जिसने अमेरिकी सरकार को 15 बिलियन से अधिक कारों की टेलीमैटिक्स-आधारित स्थान जानकारी बेचने की योजना बनाई।

जबकि टेलीमैटिक्स सिस्टम आपकी कार के जीपीएस स्थान, गति, मोड़-दर-मोड़ नेविगेशन और रखरखाव आवश्यकताओं के बारे में डेटा प्राप्त करते हैं, कुछ इंफोटेनमेंट सेटअप कॉल लॉग्स, वॉयस कमांड, टेक्स्ट मैसेज और बहुत कुछ ट्रैक कर सकते हैं। यह सभी डेटा वाहनों को “स्मार्ट” सुविधाएँ प्रदान करने की अनुमति देता है, जैसे स्वचालित क्रैश डिटेक्शन, रिमोट इंजन स्टार्ट, चोरी हुए वाहन अलर्ट, नेविगेशन और आपकी कार को दूरस्थ रूप से लॉक या अनलॉक करने की क्षमता। सीरियस एक्सएम इन सभी सुविधाओं और अधिक की पेशकश करता है, और 12 मिलियन से अधिक वाहन कहते हैं सड़क पर अपने कनेक्टेड वाहन सिस्टम का उपयोग करें।

हालाँकि, जैसा कि करी प्रदर्शित करता है, यदि उचित सुरक्षा उपाय नहीं हैं तो बुरे अभिनेता इस प्रणाली का लाभ उठा सकते हैं। को एक बयान में गिज़्मोडो, करी का कहना है कि सीरियस एक्सएम ने “इस डेटा को भेजने/प्राप्त करने के लिए बुनियादी ढांचे का निर्माण किया और ग्राहकों को माईहोंडा या निसान कनेक्टेड जैसे किसी प्रकार के मोबाइल ऐप का उपयोग करके इसे प्रमाणित करने की अनुमति दी। उपयोगकर्ता इन ऐप्स पर अपने खातों में लॉग इन कर सकते हैं, जो उनके वाहन के वीआईएन नंबर से जुड़े होते हैं, आदेशों को निष्पादित करने और उनकी कारों के बारे में जानकारी प्राप्त करने के लिए।

करी बताते हैं कि यह ऐसी प्रणाली है जो बुरे अभिनेताओं को किसी की कार तक पहुंच प्रदान कर सकती है, क्योंकि सीरियस एक्सएम किसी व्यक्ति के खाते से जुड़े VIN नंबर का उपयोग ऐप और उसके सर्वर के बीच सूचना और आदेशों को रिले करने के लिए करता है। वीआईएन के साथ उपयोगकर्ता की प्रोफ़ाइल लाने के लिए एक HTTP अनुरोध बनाकर, करी का कहना है कि वह वाहन मालिक का नाम, फोन नंबर, पता और कार विवरण प्राप्त करने में सक्षम था। फिर उन्होंने वीआईएन का उपयोग करके कमांड निष्पादित करने का प्रयास किया और पाया कि वह वाहन को दूर से नियंत्रित कर सकते हैं, जिससे वह इसे लॉक या अनलॉक कर सकते हैं, कार शुरू कर सकते हैं और अन्य कार्य कर सकते हैं।

करी का कहना है कि उन्होंने सीरियस एक्सएम को खामियों के बारे में सचेत किया और कहा कि कंपनी ने इसे जल्दी ठीक कर दिया। को एक बयान में गिज़्मोडो, कंपनी ने कहा कि भेद्यता “रिपोर्ट जमा करने के 24 घंटों के भीतर हल हो गई थी,” यह देखते हुए कि “किसी भी बिंदु पर किसी भी ग्राहक या अन्य डेटा से समझौता नहीं किया गया था और न ही इस पद्धति का उपयोग करके किसी अनधिकृत खाते को संशोधित किया गया था।” सीरियस एक्सएम ने तुरंत जवाब नहीं दिया कगारटिप्पणी के लिए अनुरोध।

अलग से, करी ने एक और दोष उजागर किया MyHyundai और MyGenesis ऐप के भीतर जो संभावित रूप से हैकर्स को वाहन को हाईजैक करने की अनुमति दे सकते हैं, लेकिन कहते हैं कि उन्होंने समस्या को ठीक करने के लिए ऑटोमेकर के साथ काम किया। व्हाइट हैट हैकर्स ने अतीत में इसी तरह के कारनामे खोजे हैं। 2015 में, एक सुरक्षा शोधकर्ता ने ऑनस्टार हैक का खुलासा किया इससे खराब अभिनेता दूर से किसी वाहन का पता लगा सकते थे, उसके दरवाजे खोल सकते थे, या कार शुरू कर सकते थे। लगभग उसी समय, से एक रिपोर्ट वायर्ड दिखाया कि कैसे एक जीप चेरोकी दूर से हैक किया जा सकता है और पहिया पर किसी के साथ नियंत्रित किया जा सकता है।