MWC 2018
2018
Computex
IFA 2018
Как минимум в трёх мобильных приложениях, предназначенных для дистанционного запуска автомобилей и разблокировки замков, обнаружены уязвимости, позволяющие удалённо выполнять различные команды. Речь идёт о приложениях Hyundai и Genesis, а также платформе SiriusXM, используемой различными автопроизводителями, включая Acura, Honda, Nissan, Toyota и др.
Источник изображения: Martin Katler/unsplash.com
Выявленная уязвимость в ПО Hyundai позволяет злоумышленникам перехватывать трафик между приложениями и автомобилями, выпущенными после 2012 года. При изучении софта MyHyundai и MyGenesis выяснилось, что идентификация пользователей осуществляется путём сравнения адреса электронной почты пользователя с другими параметрами. Добавляя к адресу электронной почты жертвы управляющие символы (байт-код) CR и LF, экспертам по кибербезопасности удавалось создать аккаунты, проходившие проверку системы безопасности и позволявшие запускать машину, отключать звуковой сигнал, контролировать систему кондиционирования, открывать багажник и т.п. По мнению специалистов, проблема кроется не в безопасности приложений, а в используемом ими API. Впрочем, они утверждают, что атаки подобного типа довольно трудно выполнять в массовом порядке, хотя они действительно опасны для владельцев автомобилей.
Также экспертами было исследовано одно из мобильных приложений на платформе SiriusXM — Nissan Connect. Выяснилось, что, зная VIN-номер автомобиля, можно получить массу информации о машине, включая имя водителя, его телефонный номер, адрес и прочие сведения.
Hyundai и SiriusXM были своевременно проинформированы о проблеме и уже выпустили обновления прошивок. Реальных атак с использованием уязвимостей не зарегистрировано, но эксперты считают, что подобные проблемы будут нарастать по мере того, как машины становятся всё более подключёнными, а сложность бортового ПО и его возможности продолжают расти.
Хотя подключённые и автономные автомобили во многом так же уязвимы, как и корпоративные информационные экосистемы, пострадавшие пользователи не имеют собственных служб кибербезопасности и им приходится полагаться только на добросовестность автопроизводителей. Сегодня автомобиль становится больше, чем просто транспортным средством. Поэтому перед производителями возникают всё более сложные вызовы.
Источник:
В России представили первый в мире полностью беспилотный робот-трактор
37
Запущен первый в мире биопроцессор из 16 органоидов мозга с удалённым доступом — он обладает высочайшей энергоэффективностью
32
YouTube стал перематывать ролики в конец, если замечает блокировщик рекламы
24
Gigabyte показала плату, которая выдержит любые видеокарты — её слот PCIe 5.0 x16 рассчитан на 58 кг
21
Подписаться