Кражбите на коли ще стават все по-лесни. Вижте защо

Установено е, че най-малко три мобилни приложения, предназначени за дистанционно стартиране на автомобили и отключване на коли, имат уязвимости, които позволяват дистанционно изпълнение на различни команди. Те включват програмните системи на Hyundai и Genesis, както и платформата SiriusXM, използвана от различни автомобилни производители, включително Acura, Honda, Nissan, Toyota и други.

Откритата уязвимост в софтуера на Hyundai позволява на нападателите да прихващат трафик между приложения и автомобили, произведени след 2012 г. По време на проучването на софтуера MyHyundai и MyGenesis стана ясно, че идентификацията на потребителя се извършва чрез сравняване на имейл адреса на потребителя с други параметри.

Чрез добавяне на контролни символи (байт код) CR и LF към имейл адреса на жертвата, експертите по киберсигурност успяха да създадат акаунти, които преминаха проверки за сигурност и им позволиха да запалят колата, да заглушат алармата, да контролират климатичната система, да отворят багажника , и още зруги такива. Според експертите проблемът не е в сигурността на приложенията, а в API-то (application programming interface), което те използват. Те обаче твърдят, че атаки от този тип са доста трудни за масово извършване.

Експертите разгледаха и една от мобилните програми на платформата SiriusXM - Nissan Connect. Оказа се, че като знаете VIN номера на колата, можете да получите много информация за колата, включително името на шофьора, неговия номер, адрес и друга информация.

Hyundai и SiriusXM бяха информирани навреме за проблема и вече пуснаха актуализации на фърмуера. Не са докладвани действителни атаки, използващи уязвимостите, но експертите смятат, че подобни проблеми ще се увеличават, тъй като автомобилите стават все по-свързани и сложността и възможностите на бордовия софтуер продължават да растат.

Въпреки че свързаните и автономни автомобили в много отношения са толкова уязвими, колкото и корпоративните информационни екосистеми, потребителите нямат собствени услуги за киберсигурност и трябва да разчитат само на добросъвестността на автомобилните производители. Днес автомобилът се превръща в нещо повече от превозно средство. Ето защо производителите са изправени пред все по-трудни предизвикателства.