Согласно уведомлению безопасности, опубликованному Координационным центром CERT Университета Карнеги-Меллон (США), в течение долгого времени теоретически любой желающий мог извлечь логин и пароль из исходного кода приложения MyCar и с их помощью получить контроль над подключенным автомобилем.
Производитель популярных телематических систем для автомобилей MyCar оставил вшитые учетные данные в своих мобильных приложениях, поставив под угрозу десятки тысяч машин. Уязвимость (CVE-2019-9493) была обнаружена в системе MyCar производства канадской компании Automobility Distribution и в настоящее время уже исправлена (если, конечно, пользователи обновили систему до версий 3.4.24 или более поздних (iOS) и 4.1.2 или более поздних (Android).).
Автомобильные телематические системы представляют собой аппаратные устройства, устанавливаемые в транспортные средства и позволяющие удаленно управлять ими через мобильные приложения. Одной из самых популярных таких систем является MyCar, позволяющая владельцам машин удаленно прогревать салон зимой, охлаждать летом, открывать и закрывать двери, включать и отключать противоугонные системы, открывать багажник и даже находить автомобиль на переполненной стоянке.
АКБ напоминает, что ранее выяснилось, что продаваемые на аукционах «пережившие» аварию подержанные автомобили Tesla хранят сугубо конфиденциальную информацию своих прежних владельцев, в том числе данные с подключавшихся к ним мобильных устройств и видеозаписи ДТП. Функция автоматического удаления данных в Tesla Model S, Model X и Model 3 не предусмотрена, так что получить к ним доступ может кто угодно, т.к. при перепродаже со сбросом настроек не заморачиваются. Что же это напоминает? Напоминает наш материал про Jaguar Land Rover.
Ранее в марте Илон Маск с благодарностью отреагировал на доклад лаборатории Tencent об уязвимостях автопилота машин. оэтого китайские ученые с помощью атак на ПО автомобиля Tesla и небольшого стикера на дорожном полотне обманули компьютер беспилотника и заставили его выехать на встречку.«Вся техника, так или иначе, уязвима. Tesla делает революционный проект — беспилотные автомобили. Никто из производителей не делал их в таком масштабе, не проводил таких испытаний. Проблема исправима, это скорее «детские болезни» проекта. Китайцы, наверное, сами хотят сделать подобный проект в своем автомобилестроении, поэтому они оказывают такое пристальное внимание Tesla», — прокомментировал тогда инцидент BFM.ru Анатолий Саутин, шеф-редактор «Агентства кибербезопасности».
Напомним также про недавний роскошный прецедент, который, если бы не бдительность специалистов по кибербезопасности, открыл бы перед любым желающим двери 3 миллионов автомашин по всему миру .
Ну и немного информации для размышления 1) Renault, Nissan и Mitsubishi запустили облачную платформу для подключенных автомобилей на базе Microsoft Azure. Такие автомобили будут непрерывно взаимодействовать с интернетом, что позволит проводить расширенную дистанционную диагностику, непрерывное развертывание новых программных продуктов, обновление ПО наравне с обеспечением доступа к информационно-развлекательным сервисам. Облачная платформа позволит управлять данными, получаемыми с подключенных автомобилей; 2) Эксперты фиксируют резкий рост числа DDoS-атак на облачные сервисы: в 2016 году на облачные сервисы пришлось 25% DDoS-атак, в 2017-м – 33%, в 2018-м – 47%. При этом облака «не тянут» современные атаки: 91% респондентов NETSCOUT Systems, переживших DDoS в 2018 году, подчеркнули, что в ходе атаки «пропускная способность интернет-каналов предприятия была полностью исчерпана».
