Установено е, че поне три мобилни приложения, предназначени за дистанционно стартиране на автомобили и отключване на ключалки, имат уязвимости, които позволяват дистанционно изпълнение на различни команди. Това са приложенията на Hyundai и Genesis, както и платформата SiriusXM, използвана от различни производители на автомобили, включително Acura, Honda, Nissan, Toyota и други.
Установената уязвимост в софтуера на Hyundai позволява на атакуващите да прихващат трафика между приложенията и автомобилите, пуснати след 2012 година. Проверката на софтуера MyHyundai и MyGenesis показа, че идентификацията на потребителя се извършва чрез сравняване на имейл адреса на потребителя с други параметри. Чрез добавяне на контролни знаци CR и LF (байткод) към имейл адреса на жертвата експертите по киберсигурност са успели да създадат акаунти, които са преминали успешно проверките за сигурност и са им позволили да стартират автомобила, да изключат клаксона, да управляват климатика, да отворят багажника и т.н. Според експертите проблемът не се крие в сигурността на приложенията, а в API, който те използват. Въпреки това те твърдят, че подобни атаки са доста трудни за извършване в масов мащаб, въпреки че наистина са опасни за собствениците на автомобили.
Те също така са проучили едно от мобилните приложения на SiriusXM - Nissan Connect. Оказва се, че познаването на VIN номера на даден автомобил може да предостави много информация за него, включително името на водача, телефонния му номер, адреса и други данни.
Hyundai и SiriusXM са били информирани своевременно за проблема и вече са издали актуализации на фърмуера. Не са докладвани реални атаки, използващи уязвимостите, но експертите смятат, че подобни проблеми ще се увеличават, тъй като автомобилите стават все по-свързани, а сложността на бордовия софтуер и неговите възможности продължават да растат.
Въпреки че свързаните и автономните автомобили в много отношения са също толкова уязвими, колкото и корпоративните информационни екосистеми, засегнатите потребители не разполагат със собствени служби за киберсигурност и трябва да разчитат единствено на добрата воля на автомобилните производители. Днес автомобилът се превръща в нещо повече от превозно средство. Затова производителите са изправени пред все по-сложни предизвикателства.
Вижте всички актуални новини от Standartnews.com
