혼다, 닛산, 아큐라 등 유명 자동차 기업에 커넥티트카 서비스를 제공하는 시리우스XM(SiriusXM)에서 차량을 원격 조종에 노출시키는 보안 취약점이 발견됐다.
버그 바운티 전문가 샘 커리는 자신의 트윗을 통해 시리우스XM에서 발견한 취약점에 대한 세부 정보를 공유했다.
샘 커리가 이끄는 연구팀은 공격자가 단순히 차량의 VIN(차량 식별 번호)을 아는 것만으로 서비스의 취약점을 이용해 차량의 잠금을 해제하고, 시동을 걸고, 위치를 찾고, 경적을 울릴 수 있음을 시연했다.
연구팀은 공격 시연을 위해 시리우스XM이 소유한 도메인을 찾고, 고객의 모바일 앱에 대한 리버스 엔지니어링을 수행해 서비스 작동 방식을 파악했다. 또한 시리우스XM의 원격 관리 기능에 차량을 등록하기 위한 일부 도메인의 핸들링 서비스도 조사했다.
아울러 닛산커넥트(NissanConnect) 앱을 분석하고 HTTP 트래픽을 검사하기 위해 계정에 로그인한 일부 닛산 소유자에게 연락했다. 이를 통해 NISSAN_17MY를 지정하는 Cv-Tsp 헤더와 함께 식별자에 대한 nissancust로 구성된 customerId 매개 변수의 형식을 쉽게 식별할 수 있었다.
몇 시간의 검사 후 연구팀은 HTTP 응답 vin:5FNRL6H82NB044273에서 nissancust와 유사한 VIN 번호 형식을 발견했다. VIN 접두사 ID를 customerId로 보내려고 시도해 200 OK와 함께 베어러 토큰을 반환했다.
연구팀은 인증 베어러를 가져와 사용자 프로필의 세부 정보(이름, 전화 번호, 주소 및 자동차 세부 정보)를 가져오기 위해 HTTP 요청에 사용해 VIN 번호의 고객 세부 정보를 가져오는 간단한 Python 스크립트를 개발했다. 연구팀은 이를 통해 차량을 원격으로 조종하기 위한 HTTP 요청을 찾을 수 있었다.
연구팀은 보안 취약점을 발견한 즉시 시리우스XM 측에 관련 사실을 알렸다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
