У додатках Hyundai та інших авто знайшли вразливості
Як мінімум у трьох мобільних додатках, призначених для дистанційного запуску автомобілів та розблокування замків, виявлено вразливості, що дозволяють віддалено виконувати різні команди.
Йдеться про програми Hyundai і Genesis, а також платформу SiriusXM, що використовується різними автовиробниками, включаючи Acura, Honda, Nissan, Toyota та ін.
Виявлена вразливість у ПЗ Hyundai дозволяє зловмисникам перехоплювати трафік між додатками та автомобілями, випущеними після 2012 року. Під час вивчення софту MyHyundai та MyGenesis з’ясувалося, що ідентифікація користувачів здійснюється шляхом порівняння адреси електронної пошти користувача з іншими параметрами.
Додаючи до адреси електронної пошти жертви керуючі символи (байт-код) CR і LF, експертам з кібербезпеки вдавалося створити облікові записи, що проходили перевірку системи безпеки і дозволяли запускати машину, відключати звуковий сигнал, контролювати систему кондиціювання, відкривати багажник і т.п. На думку фахівців, проблема криється не в безпеці додатків, а у використовуваному ними API. Втім, вони стверджують, що атаки подібного типу досить важко виконувати в масовому порядку.
Також експертами було досліджено одну з мобільних програм на платформі SiriusXM — Nissan Connect. З’ясувалося, що, знаючи VIN-номер автомобіля, можна отримати масу інформації про машину, включаючи ім’я водія, його номер, адресу та інші відомості.
Hyundai та SiriusXM були вчасно проінформовані про проблему і вже випустили оновлення прошивок. Реальних атак з використанням уразливостей не зареєстровано, але експерти вважають, що подібні проблеми наростатимуть у міру того, як машини стають все більш підключеними, а складність бортового програмного забезпечення та його можливості продовжують зростати.
Хоча підключені й автономні автомобілі багато в чому так само вразливі, як і корпоративні інформаційні екосистеми, користувачі не мають власних служб кібербезпеки і їм доводиться покладатися тільки на сумлінність автовиробників. Сьогодні автомобіль стає більшим, ніж просто транспортним засобом. Тому перед виробниками виникають все складніші виклики.