MWC 2018
2018
Computex
IFA 2018
Как минимум в трёх мобильных приложениях, предназначенных для дистанционного запуска автомобилей и разблокировки замков, обнаружены уязвимости, позволяющие удалённо выполнять различные команды. Речь идёт о приложениях Hyundai и Genesis, а также платформе SiriusXM, используемой различными автопроизводителями, включая Acura, Honda, Nissan, Toyota и др.
Источник изображения: Martin Katler/unsplash.com
Выявленная уязвимость в ПО Hyundai позволяет злоумышленникам перехватывать трафик между приложениями и автомобилями, выпущенными после 2012 года. При изучении софта MyHyundai и MyGenesis выяснилось, что идентификация пользователей осуществляется путём сравнения адреса электронной почты пользователя с другими параметрами. Добавляя к адресу электронной почты жертвы управляющие символы (байт-код) CR и LF, экспертам по кибербезопасности удавалось создать аккаунты, проходившие проверку системы безопасности и позволявшие запускать машину, отключать звуковой сигнал, контролировать систему кондиционирования, открывать багажник и т.п. По мнению специалистов, проблема кроется не в безопасности приложений, а в используемом ими API. Впрочем, они утверждают, что атаки подобного типа довольно трудно выполнять в массовом порядке, хотя они действительно опасны для владельцев автомобилей.
Также экспертами было исследовано одно из мобильных приложений на платформе SiriusXM — Nissan Connect. Выяснилось, что, зная VIN-номер автомобиля, можно получить массу информации о машине, включая имя водителя, его телефонный номер, адрес и прочие сведения.
Hyundai и SiriusXM были своевременно проинформированы о проблеме и уже выпустили обновления прошивок. Реальных атак с использованием уязвимостей не зарегистрировано, но эксперты считают, что подобные проблемы будут нарастать по мере того, как машины становятся всё более подключёнными, а сложность бортового ПО и его возможности продолжают расти.
Хотя подключённые и автономные автомобили во многом так же уязвимы, как и корпоративные информационные экосистемы, пострадавшие пользователи не имеют собственных служб кибербезопасности и им приходится полагаться только на добросовестность автопроизводителей. Сегодня автомобиль становится больше, чем просто транспортным средством. Поэтому перед производителями возникают всё более сложные вызовы.
Источник:
Компьютер месяца, спецвыпуск: собираем игровой ПК по цене PlayStation 5 Pro
58
Обзор материнской платы MSI B760 Gaming Plus WiFi: почему она так популярна?
16
Обзор видеокарты Predator BiFrost Radeon RX 7800 XT OC: строгий дизайн, тихая работа
6
Обзор и тестирование ноутбука Digma Pro Pactos 14”: недорого, но и не очень сердито
4
Подписаться