Бывшие владельцы «умных» автомобилей могут получить доступ к управлению авто

Бывшие владельцы «умных» автомобилей могут получить доступ к управлению авто

Эксперт смог получить доступ к системам автомобиля даже спустя два года после его продажи.

Предыдущие владельцы «подключенных» авто, оснащенных управляемыми через интернет и смартфоны системами, могут получать доступ к авто даже после того, как машина была продана. На данную проблему обратил внимание руководитель команды IBM X-Force Red Чарльз Хэндерсон (Charles Henderson) в ходе выступления на конференции по кибербезопасности RSA.

Используя специализированное мобильное приложение, специалист смог получить доступ к автомобилю (к системам управления, защиты и климат-контроля, а также данным о местоположении транспортного средства), который продал два года назад. Ни одно из этих действий не должно быть возможно, особенно после сброса настроек до заводских и продажи авто через дилерский центр производителя (что должно аннулировать доступ бывшего владельца к машине), считает Хэндерсон.

По его словам, это довольно распространенная ситуация в сфере Интернета вещей, которая касается не только автомобилей, но и «умных» домов, электролампочек и т.д.

«Как мы можем ожидать, что автопроизводители корректно реализуют процедуру отзыва доступа, если компании из списка Fortune 500 не делают это правильно?», - отметил специалист.

Напомним, ранее эксперты «Лаборатории Касперского» провели интересное исследование, направленное на изучение защищенности автомобильных приложений. Как показал эксперимент, все проанализированные приложения в той или иной степени оказались уязвимы к атакам.

Евгений Лифшиц, руководитель Агентства кибербезопасности

Какую опасность для нового владельца грозит подобный доступ?

Новые технологии паровозом тянут за собой и новые уязвимости, которыми спешат воспользоваться хакеры. Если злоумышленник прорвался через незащищенную систему «умного» автомобиля, то в лучшем случае он может остановить работу кондиционера или изменить громкость музыки. В худшем случае в самый неподходящий момент заглохнет двигатель. Это не выдуманный сценарий. В 2015 г. «автохакеры» Чарли Миллер и Крис Валасек на расстоянии 15 км взяли под полный контроль джип Cherokee, воспользовавшись уязвимостью в системе навигации и развлечений Uconnect. Впоследствии Chrysler отозвал все автомобили с этой установленной в них системой. И чем больше растет количество функций, доступ к которым предоставляется через единый интерфейс с развлекательной системой, тем больше таких случаев может быть.

Проблемы с автомобилем могут возникнуть и из-за недостатков мобильных приложений, которые предназначены для удаленного управления отдельных систем «умных» машин. Такие приложения разрабатывают компании-автопроизводители, и поэтому эти сервисы можно считать вполне официальными.

Простыми словами, «умные» автомобили не защищены ни от чего и ни от кого, по сути, как первые компьютеры. И всегда есть человеческий фактор, что наглядно показал эксперимент сотрудника IBM, когда не срабатывает обнуление системы и при дальнейшей продаже «умного» авто ее системы не проверяются повторно на безопасность.

Какие меры может предпринять новый владелец, чтобы обезопасить себя от злонамеренных действий предыдущего владельца?

Зачастую большинство производителей автомобилей не знают о потенциальных уязвимостях в безопасности их машин, даже не смотря на то, что сотрудники компании создавали ту или иную систему для удаленного управления авто. Автопроизводителям в современном мире стоит обращать больше внимания на безопасность автономных машин, а не только на дизайн, чем сейчас все грешат. Ведь с все большим проникновением в нашу повседневную жизнь «умных» машин главным критерием при покупке будет его защищенность от внешних хакерских угроз.

Если говорить о регулирующей стороне, то вопрос узаконивания «думающих» систем уже поднимался. На днях Европарламент предложил рассмотреть правовой статус электронной личности для сложных роботов, принимающих самостоятельные решения. Отдельное место в резолюции посвящено беспилотным автомобилям.

Назовите автомобили, которые могут быть уязвимы к подобным проблемам?

Согласно отчету Gartner, до 2020 г. к интернету будут подключены свыше 150 млн машин, и если не предпринимать методов защиты, то под угрозой может оказаться любое авто. В «хакерские» хроники уже попадали Jeep Cherokee, Land Rover Год (в 2015 г. была обнаружена уязвимость, которая приводила к самопроизвольному отпиранию дверей), спутниковая навигационная система OnStar (может определить местоположения машины, разблокировать его и запустить двигатель), самые простые домашние мобильные приложения для удаленного управления устройств. Вспомнить, хотя бы недавнюю историю подростка, который в беспроводном режиме включил дворники, систему блокировки и фары на «умной» машине.

Михаил Кондрашин, технический директор Trend Micro в России

Какую опасность для нового владельца грозит подобный доступ?

Мы живем в эпоху подключения к Интернету всего, что только возможно. Автомобильный рынок, проявив должную долю консерватизма в прошлые годы, также стал внедрять всевозможные технологии, позволяющие удаленно управлять автомобилем. К сожалению, модель бизнеса автоконцернов не включает в себя получение прибыли от онлайн-услуг для проданного авто. В результате, жизненный цикл «умного» автомобиля не контролируется полностью, и нюансы, связанные со сменой владельца или выявление уязвимостей в используемом программном обеспечении, могут обернуться очень серьезными проблемами в будущем. Самой типичной атакой может стать блокировка автомобиля и требование выкупа у владельца.

Какие меры может предпринять новый владелец чтобы обезопасить себя от злонамеренных действий предыдущего владельца?

Необходимо приобретать «умный» автомобиль только напрямую у предыдущего владельца и убедиться лично, что ему уже недоступны никакие средства удаленного управления.

Назовите автомобили которые могут быть уязвимы к подобным проблемам?

Если вместе с новым авто вам предлагают установить на телефон приложение для удаленного контроля и управления, то вероятность столкнуться в будущем с проблемами очень высока. Даже если вопрос полного сброса параметров при продаже будет решен, то обнаружение в будущем уязвимости приведет к самым разнообразным рискам.



Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.