Софтуерна уязвимост поставя под риск милиони автомобили
Многобройни грешки, засягащи милиони автомобили от 16 различни производителя, могат да бъдат използвани за отключването, стартирането и проследяването им, както и за неоторизиран достъп до личните данни на техните собственици, съобщава The Hackernews.
Уязвимостите в сигурността са били открити в приложно-програмния интерфейс (API) на Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce, Toyota, както и в софтуера на Reviver, SiriusXM и Spireon.
Грешките обхващат много аспекти - от такива, които дават достъп до вътрешни системи на компанията производител и лична информация за потребителите, до слабости, които биха позволили на нападателя да изпрати дистанционно команди.
Цитираното от медията изследване е базирано на констатации от края на миналата година, когато изследователят от Yuga Labs Сам Къри и други негови колеги подробно описаха недостатъците в сигурността на услугата за свързани автомобили, предоставяна от SiriusXM, които потенциално биха могли да изложат автомобилите на риск от кибератаки.
Най-сериозният от проблемите, който засяга телематичното решение на Spireon, би могъл да бъде използван за получаване на пълен административен достъп, което би позволило на хакерите да задават произволни команди на около 15,5 милиона автомобила, както и да актуализира фърмуера на устройствата по тяхно усмотрение.
"Това щеше да ни позволи да проследим и изключим стартерите на полицията, линейките и автомобилите на правоприлагащите органи в редица големи градове и да контролираме тези автомобили", казват изследователите, цитирани от The Hackernews.
Уязвимостите, идентифицирани в Mercedes-Benz, пък биха могли да осигурят достъп до вътрешни приложения чрез неправилно конфигурирана схема и да позволят неоторизиран достъп до потребителски акаунти. Това, на свой ред, води до разкриване на чувствителна информация.
Други недостатъци в API дават възможност за достъп или промяна на клиентски досиета и настройки и проследяване на GPS местоположението на автомобилите в реално време, управление на данните за регистрационните номера на всички клиенти на Reviver и дори актуализиране на статуса на автомобила като "откраднат".
Макар че всички тези уязвимости междувременно са отстранени от съответните производители, констатациите подчертават необходимостта от изграждане на стратегия за ограничаване на заплахите и намаляване на риска в този все по-свързан свят.
"Ако един нападател успее да открие уязвимости в крайните точки на API, които използват телематичните системи на превозните средства, той би могъл да натисне клаксона, да даде мигач, да проследява от разстояние движението на автомобила, да заключва и отключва и да стартира и спира превозните средства. Напълно дистанционно", отбелязват изследователите и добавят: "Взаимосвързаността на нашите устройства прави защитата на автомобилите все по-трудна. Кибератаките срещу автомобили са се увеличили с 225% през последните три години, като 84,5 % от тези атаки са извършени дистанционно", казва в изявление Сандип Сингх, старши мениджър в HackerOne.
Той допълва, че с усъвършенстването на автомобилните технологии се увеличава и сложността на техните интелигентни софтуерни системи, а идентифицирането на уязвимостите във веригата за доставка на софтуер, причинени от "интелигентни" функции, изисква задълбочени познания.
А това определено не е сфера, в която има недостиг на специалисти, което превръща гарантирането на сигурността на свързаните автомобили във все по-голямо предизвикателство.