Inteligentne auta w zasięgu zdalnego ataku
Samochody wszystkich marek są obecnie wyposażane w technologię i aplikacje nie w pełni zrozumiałe dla większości kierowców. Powodowani możliwością przejęcia pełnej kontroli nad inteligentnymi samochodami, właściciele pojazdów bezrefleksyjnie zgadzają się połączyć swoje smartfony i konta osobiste z wieloma aplikacjami i urządzeniami sterowanymi smartfonem. Problemem w tym, że wiele z nich ma dotąd nieusunięte luki w zabezpieczeniach.
Tysiące samochodów pozostaje podatnych na zagrożenia, jakie stwarzają działania hakerów usiłujących zmieniać ustawienia inteligentnych urządzeń za pomocą mobilnych aplikacji telematyki, do których dostęp chroniony jest hasłem sprzętowym – ostrzegają specjaliści.
Ostatnio pod rozwagę wzięto aplikację MyCar Controls, znaną również jako CarLink, Linkr, Visions MyCar lub MyCar Kia, opracowaną przez Automobility Distribution Inc. Jest ona niezwykle popularna zarówno wśród użytkowników iOS, jak i Androida, ponieważ pozwala wykorzystać smartfon do ustawiania temperatury, lokalizowania pojazdu, otwierania bagażnika, włączania i wyłączania alarmu bezpieczeństwa, blokowania i odblokowywania drzwi i wykonywania innych drobnych zadań.
„W aplikacji mobilnej MyCar Controls uwierzytelnianie może być realizowane – zamiast za pomocą nazwy i hasła użytkownika – z wykorzystaniem administracyjnego hasła sprzętowego (CWE-798), które przeznaczone jest do komunikowania się aplikacji z punktem końcowym serwera, przypisanym użytkownikowi docelowemu” – napisano w raporcie.
Problem wynikał z tego, że hasło nie było szyfrowane, co stanowiło krytyczną lukę w zabezpieczeniach. Pozwalała ona stronie trzeciej zdalnie zmieniać ustawienia samochodu lub kraść dane użytkownika. Przestępcy mogli nawet uzyskać fizyczny dostęp do pojazdu – wyjaśnia Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe.
Źródło: materiały prasowe Bitdefender, oprac. sek