Zdalne hakowanie samochodów. Oszustom wystarczy jedna informacja
Eksperci ds. bezpieczeństwa ostrzegają, że aplikacja mobilna w samochodzie może być furtką dla hakerów. Sam Curry, niezależny badacz, znalazł luki w oprogramowaniu wykorzystywanym przez kilku producentów samochodów.
Sam Curry zademonstrował, w jaki sposób cyberprzestępcy przejmują kontrolę nad pojazdami i zdalnie je odblokowują lub blokują, włączając lub wyłączając silnik bądź używać klaksonu. W serii tweetów zademonstrował, w jaki sposób wykorzystał luki w aplikacji Hyundai i interfejsie API, aby ominąć kontrolę autoryzacji. Znając tylko adres e-mail jego właściciela, udało mu się przejąć jego konto. Później okazało się, że na to samo ryzyko są narażeni użytkownicy samochodów Genesis.
Samochody celem ataków hakerskich
Niezależny badacz – zachęcony wcześniejszymi odkryciami – zaczął analizować luki w zabezpieczeniach dotyczące innych producentów – szczególnie korzystających z platformy telematycznej SiriusXM Connected Vehicle Services. Okazało się, że posługując się używaną wcześniej techniką, można było zdalnie zatrzymywać lub uruchamiać auta, migać reflektorami lub trąbić klaksonem, a także wydobyć bez upoważnienia dane osobowe właściciela (nazwisko, numer telefonu, adres i informacje o samochodzie).
Dalsza część artykułu pod materiałem wideo
Wywołania API dla usług telematycznych działały, nawet jeśli użytkownik nie miał już aktywnej subskrypcji SiriusXM. Sam Curry zauważył, że może dowolnie rejestrować lub wyrejestrowywać właścicieli pojazdów z usługi. Wystarczyło, że znał adres e-mail właściciela pojazdu lub jego numer VIN.
Aplikacje z założenia mają ułatwiać życie kierowcom i wielu przypadkach tak się dzieje. Niestety, stały się one też celem ataków hakerów. Wszystko wskazuje na to, że problem ten będzie narastał. W związku z tym należy uczulić zarówno dostawców aplikacji, jak i producentów aut, aby podchodzili z należytą uwagę do kwestii bezpieczeństwa. Poza tym właściciele samochodów czasami nadmiernie ekscytują się możliwością zdalnej kontroli nad samochodami za pomocą różnego rodzaju programów, nie przywiązując należytej uwagi do kwestii bezpieczeństwa.
Mariusz PolitowiczMarken, dystrybutor rozwiązań Bitdefender.Warto podkreślić, że Sam Curry poinformował producentów o lukach w zabezpieczeniach przed upublicznieniem informacji. Natomiast rzecznik Hyundaia zapewnił, że nie odnotowano żadnych przypadków włamań, poza tymi ujawnionymi przez badaczy bezpieczeństwa.
Konrad Siwik, dziennikarz dobreprogramy.pl
