Zdalne hakowanie samochodów za pomocą numeru VIN
Aplikacja mobilna w samochodzie może być furtką dla hakerów - ostrzegają specjaliści od bezpieczeństwa. Sam Curry, niezależny badacz, znalazł luki w oprogramowaniu wykorzystywanym przez kilku producentów samochodów.
Sam Curry zademonstrował w jaki sposób cyberprzestępcy przejmują kontrolę nad pojazdami i zdalnie je odblokowują lub blokują, włączając lub wyłączając silnik bądź używać klaksonu. W serii tweetów Curry zademonstrował, w jaki sposób wykorzystał luki w aplikacji Hyundai i interfejsie API, aby ominąć kontrole autoryzacji. Znając tylko adres e-mail jego właściciela udało mu się przejąć jego konto. Później okazało się, że na to samo ryzyko są narażeni użytkownicy samochodów Genesis.
Sam Curry, zachęcony wcześniejszymi odkryciami, zaczął badać luki w zabezpieczeniach dotyczące innych producentów – szczególnie korzystających z platformy telematycznej SiriusXM Connected Vehicle Services. Okazało się, że posługując się używaną wcześniej techniką można było zdalnie zatrzymywać lub uruchamiać auta, migać reflektorami lub trąbić klaksonem, a także wydobyć bez upoważnienia dane osobowe właściciela (nazwisko, numer telefonu, adres i informacje o samochodzie).
Wywołania API dla usług telematycznych działały, nawet jeśli użytkownik nie miał już aktywnej subskrypcji SiriusXM. Sam Curry zauważył, że może dowolnie rejestrować lub wyrejestrowywać właścicieli pojazdów z usługi.
- Aplikacje z założenia mają ułatwiać życie kierowcom i wielu przypadkach tak się dzieje. Niestety, stały się one też celem ataków hakerów. Wszystko wskazuje na to, że problem ten będzie narastał. W związku z tym należy uczulić zarówno dostawców aplikacji, jak i producentów aut, aby podchodzili z należytą uwagę do kwestii bezpieczeństwa. Poza tym właściciele samochodów czasami nadmiernie ekscytują się możliwością zdalnej kontroli nad samochodami za pomocą różnego rodzaju programów, nie przywiązując należytej uwagi do kwestii bezpieczeństwa.- mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender.
Warto podkreślić, że Sam Curry poinformował producentów o lukach w zabezpieczeniach przed upublicznieniem informacji. Natomiast rzecznik Hyundaia zapewnił, że nie odnotowano żadnych przypadków włamań, poza tymi ujawnionymi przez badaczy bezpieczeństwa.
Źródło: marken.com.pl; bitdefender.pl
Nadesłał:
Marken
|