Специалисты по кибербезопасности из известной британской компании Pen Test Partners обнаружили весьма опасную уязвимость в системе работы бесключевой автомобильной сигнализации двух крупных мировых производителей. Речь о российской Pandora и американской Viper (известной в Англии под лейблом Clifford).
Дыра в системе работы сигнализации позволила исследователям при тестовом испытании почти моментально получить удалённый доступ к системам автомобиля и к данным, которые его система отсылает вовне. Так как брешь нашли в ходе независимого закрытого тестирования, Pen Test Partners незамедлительно уведомили о ней компании-производители сигнализации. Так что (по крайней мере теоретически) сегодня уязвимость, которая иначе бы затрагивала порядка 3 млн автомобилей в мире, исправлена и не представляет угрозы. Если вы из тех, кто обновляет ПО, конечно.
Как утверждают специалисты Pen Test Partners, до исправления дыры в умной сигнализации любой мог получить доступ к удалённому кабинету авторизованного владельца транспортного средства. Пользовательский интерфейс на серверах поддержки был сделан безобразно и позволял подменить почтовый адрес пользователя любым другим адресом без авторизации (!) и затем провести операцию сброса пароля с последующей отправкой пароля на адрес злоумышленника.
Проделать этот процесс оказалось сделать настолько легко, что исследователи назвали свой доклад «Угнать за 6 секунд». Ниже можно посмотреть его краткую youtube-версию:
Далее, когда хакер получил пароль пользователя и вошел в его аккаунт на смартфоне можно было запустить приложение, которое позволяло следить за перемещением автомобиля на карте, дистанционно глушить двигатель для принудительной остановки и открывать двери, а также прослушивать и записывать разговоры в салоне с помощью предусмотренного системой сигнализации микрофона для связи со службами спасения и техпомощью. О реальных случаях эксплуатация уязвимости данных нет.
АКБ напоминает, что год назад МЧС поразила интернет , неожиданно выпустив предупреждение о хакерах, которые могут удаленно перехватывать управление умным автомобилем. Всероссийский центр мониторинга и прогнозирования чрезвычайных ситуаций МЧС «Антистихия» опубликовал тогда пресс-релиз о киберугрозах для автомобилистов. «В 2018 году возможны атаки подключенных к интернету систем: автомобилей (отключение подушек безопасности, управление машиной, слежение за ее владельцем) и медицинских приборов», – говорится в документе, в котором также упоминается, что в 2017 году число хакерских атак на российские информационные объекты увеличилось более чем в четыре раза.
Глава Агентства кибербезопасности и член экспертного совета Госдумы по информационной политике Евгений Лифшиц тогда рассказал в эфире радиостанции «Москва FM», почему нам надо быть готовыми к новой реальности.
Автомобили – это устройства, не созданные для интернета, не рассчитанные на такое взаимодействие. Когда сейчас их стали подключать к интернету, естественно, автомобили стали открыты для уязвимостей. Автомобили пока не прошли этот эволюционный путь, с точки зрения развития безопасности для удаленного доступа. Сейчас да, брешей много – машина обновляется через интернет, ошибки можно посмотреть через интернет. Да что говорить, Tesla, например – это вообще такой iPad или гаджет на колесах.
В будущем, по мнению эксперта, автопроизводители будут массово отзывать автомобили для перепрошивки после резонансных случаев взлома, чтобы залатать бреши в системе безопасности. С момента этого прогноза, в частности, выяснилось, что все данные и удаленное управление автомобилями Jaguar Land Rover по-прежнему доступны предыдущим владельцам после того, как автомобиль был перепродан, а также, что каршеринг – это золотая жила для кибермошенников .
