Подключенные автомобили: кто контролирует их без вашего ведома?
Исследователи "Лаборатории Касперского" рассмотрели безопасность приложений для дистанционного управления автомобилями от нескольких известных автопроизводителей и обнаружили, что все приложения содержат ряд вопросов к безопасности, которые потенциально могут позволить преступникам нанести значительный ущерб владельцам подключенных авто.
В течение последних нескольких лет машины начали активно подключаться к интернету. С Сетью "общаются" не только их информационно-развлекательные системы, но и критически важные системы автомобиля, такие как дверные замки и замки зажигания. С помощью мобильных приложений теперь можно получить координаты транспортного средства и маршрут его движения, открыть двери, запустить двигатель и управлять дополнительными устройствами в автомобиле. С одной стороны, это чрезвычайно полезные функции. С другой стороны, как производители обеспечивают защиту этих приложений от риска кибератак?
Чтобы это выяснить, эксперты "Лаборатории Касперского" проверили семь приложений дистанционного управления автомобилем, разработанных ведущими производителями автомобилей, которые, по статистике Google Play, были загружены десятки тысяч, а в некоторых случаях до пяти миллионов раз. Исследование показало, что каждое из рассмотренных приложений содержит несколько проблем безопасности.
Во-первых, в приложениях отсутствует защита от применения обратного проектирования. В результате злоумышленники могут понять, как работает приложение, и найти уязвимость, которая позволила бы им получить доступ к серверной части инфраструктуры или к мультимедийной системе автомобиля. Во-вторых, нет проверки целостности кода, что позволяет преступникам включить собственный код в приложение и заменить оригинальную программу поддельной. В-третьих, нет методов обнаружения прав Root, которые обеспечивают троянцев почти бесконечными возможностями и оставляют приложение беззащитным. Также в ПО отсутствует защита от методов перекрытия/накладки приложений. Это позволяет вредоносных приложениям показывать фишинговые окна и красть учетные данные пользователей. Кроме того, хранение логинов и паролей в виде обычного текста позволяет киберпреступникам относительно легко украсть данные пользователей.
После успешной эксплуатации приложения злоумышленник может получить контроль над автомобилем, открыть двери, отключить охранную сигнализацию и, теоретически, украсть автомобиль.
В каждом случае вектор атаки потребует некоторых дополнительных средств, однако это вряд ли будет проблемой для преступников, считают специалисты "Лаборатории Касперского".
"Главный вывод нашего исследования заключается в том, что приложения для подключенных автомобилей в их нынешнем состоянии не готовы противостоять атакам вредоносных программ. Думая о безопасности подключенного автомобиля, следует учитывать не только безопасность на стороне сервера инфраструктуры. Мы ожидаем, что производителям автомобилей придется идти той же дорогой, которой прошли банки с их приложениями. Изначально приложения для онлайн-банкинга тоде не были оснащены всеми функциями безопасности, перечисленными в нашем исследовании. Теперь, после нескольких случаев нападений на банковские приложения, многие банки улучшили безопасность своих продуктов. К счастью, мы еще не обнаружили ни одного случая нападений на приложения для автомобилей, что означает, что у автопроизводителей еще есть время, чтобы сделать все правильно. Сколько времени у них есть - неизвестно. Современные троянцы являются очень гибкими - в один прекрасный день они могут действовать как обычные программы для показа рекламы, а на следующий день могут легко загрузить новую конфигурацию, делая возможным таргетинг новых приложений. Поверхность атаки здесь действительно огромна", - заявил Виктор Чебышева, эксперт по вопросам безопасности "Лаборатории Касперского".
Исследователи "Лаборатории Касперского" советуют пользователям подключенных автомобилей для защиты своих авто и личных данных от возможных кибератак следовать следующим мерам: не давать root-права Android-устройствам, так как это откроет практически неограниченные возможности для вредоносных приложений, отключить возможность установки приложений из неофициальных магазинов, своевременно обновлять версию операционной системы устройства с целью снижения уязвимости в ПО и снижения риска кибератак, установить проверенное решение безопасности.
