Как подержанные автомобили стали кошмаром для безопасности

Безопасность приложений для подключения к автомобилю находится под угрозой. Это было ясно на информационной конференции по безопасности RSA на прошлой неделе в Сан- Франциско, где две презентации продемонстрировали различные способы, которыми автомобили могут управляться дистанционно или даже украдены людьми, не являющимися собственниками. Все потому, что инженеры, проектировавшие приложения для автомобиля буквально не все обдумали и не рассмотрели вопрос о возможности второго владельца или хакера.

На конференции по безопасности RSA на прошлой неделе в Сан — Франциско, X-Force Red, лидер IBM Чарльз Хендерсон рассказал о машине, от которой он не мог избавиться. Несмотря на то, что он продал свою старую машину, контроль над его предыдущим транспортным средством по — прежнему доступен через его приложение.

Он был очень осторожен, когда обменял свою старую машину в дилерском центре. Он хотел убедиться, что его личная информация будет защищена, поэтому выполнил сброс на заводские настройки и де санкционировал все счета, связанные с автомобилем. Он предпринял большие усилия, чтобы убедиться, что автомобиль был передан надежно. Когда же он вернулся домой со своим новым транспортным средством, то заметил, что старое авто до сих пор числятся на его приложении. Он ждал снятия автомобиля. Он думал, что это займет несколько дней, для очистки данных. Дни превратились в недели, затем месяцы. «Четыре года спустя, я до сих пор имеют контроль над автомобилем.» Он добавил: «Если бы я был преступником, я мог бы украсть автомобиль.»

Хендерсон быстро понял, что безопасность подключенных автомобилей вращается вокруг первого владельца. Они буквально не думали о том, что происходит, когда кто-то продает его. Хендерсон протестировал четыре основных производителя автомобилей и обнаружил, что все они используют приложения, которые позволяют предыдущим владельцам получить доступ к автомобилю с помощью мобильного устройства. В своей речи, он был достаточно осторожен, чтобы не сказать нам, кто производитель его автомобиля. И он обнаружил, что только производитель может удалить пользователей из своего автомобиля.

Новые владельцы автомобилей остаются в неведении. «Там нет ничего на приборной панели, что говорит вам: следующие люди имеют доступ к машине. » Хуже того, когда он сравнил автомобили других сотрудников IBM, чтобы взглянуть на проблему, Хендерсон сказал, что они обнаружили в общей сложности четыре производителя автомобилей, не сумевшие правильно управлять доступом к автомобилям после перепродажи.

На следующий день на конференции RSA, исследователи Михаил Кузин и Виктор Чебышев рассмотрел безопасность для семи наиболее популярных приложений для Android автомобилей. «К сожалению,» они сказали, что «все приложения оказались уязвимы для атак в той или иной форме.»

Они обнаружили, что все приложения имеют «незашифрованные учетные данные пользователя», а также «немного защиты от обратной инженерии или внедрения вредоносных программ в приложениях.» Многие хранят Логин, пароль и номер VIN автомобиля в незашифрованном виде. В одном случае, «имя пользователя и пароль, которые были введены при регистрации были показаны на экране сразу же после попытки входа в систему.»

Кузин и Чебышев объяснили, что широта неудач безопасности в этих программах «позволяет любому заинтересованному человеку изменить приложение по своему усмотрению, и начать его распространение среди потенциальных жертв.» Не каждый может это сделать, конечно. Сначала пользователь должен обманным путем загрузить модифицированную версию приложения автомобиля, что достаточно легко сделать через ссылку в SMS или электронной почте. Все, что кто — то должен сделать, это заразить ваш телефон вредоносными программами. «Несмотря на это, они написали: «атака имеет довольно скрытный характер, так что пользователь не заметит ничего из ряда вон выходящего, пока его автомобиль не будет украден.»

Но что на самом деле о запуске автомобиля, спросите вы? Дело в том, ключ необходим для автомобиля, для того, чтобы начать двигаться. Исследователи объяснили, что после получения доступа угонщики используют блок программирования, чтобы вписать новый ключ в бортовую систему автомобиля. Теперь, давайте вспомним, что почти все из описанных приложений позволяют разблокировать двери, то есть, деактивировать систему сигнализации автомобиля. Таким образом, злодей может скрытно и быстро выполнить угон автомобиля, ничего не нарушая и не сверля».

Так же, как проектировщикам приложений не удалось рассмотреть вопрос, что происходит, когда машина продана, исследователи Касперского отметили, что «никто не представлял себе ситуацию, когда взломан телефон владельца.»

Несколько лет назад мы, возможно, уже видели эти виды ошибок безопасности как неизбежную часть незрелого автомобильного рынка. Теперь, в нашем мире ежедневных взломов, нарушений и кошмаров безопасности, эти недостатки отрываются как пренебрежение.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>