«Подключенные» автомобили — удобные и уязвимые

Слабости в защите автомобилей, способных выходить в Сеть, могут привести к угону машины и другим негативным последствиям.

Если вы слышали о футуристических концепциях «умного дома» или «Интернета вещей», я, может, удивлю вас, сказав, что наиболее полное воплощение этих идей на сегодняшний день имеется в автомобильной индустрии. Современный автомобиль, по сути, содержит десятки компьютеров, управляющих тормозами, передачей, освещением и климатом, ну и всем прочим тоже. И конечно, автопроизводители следуют новой тенденции, включая в дорогие версии новых автомобилей различные онлайн-возможности, делая машины «подключенными» к Сети. Это удобно. Можно дистанционно со смартфона включить в машине кондиционер, чтобы не сидеть десять минут в жаре или холоде, можно посмотреть в «Карты Google» или «Яндекс.Карты» прямо с приборной панели, слушать музыку по радио TuneIn через бортовую аудиосистему или даже запустить аварийную систему, которая сама вызовет на помощь при аварии и сообщит спасателям GPS-координаты.

Проникновение подобных сервисов в серийные автомобили уже высоко, говорится в недавнем исследовании (оригинал на испанском), проведенном испанским подразделением международной компании Interactive Advertising Bureau (IAB). Анализ «подключенных» возможностей в свежих автомобилях пятнадцати лидирующих автобрендов, в том числе Audi, BMW, Ford, Lexus, Opel, Renault, Volvo и др., показывает, что новую функцию развивают все, но двумя разными способами. Одна группа производителей делает акцент на решениях «внутри машины», неотделимых от нее, тогда как вторая уделяет основное внимание интеграции автомобиля со смартфоном и его сервисами. Лидирует в развитии этого сегмента компания BMW, которая разработала 20 приложений для смартфона и 14 для самого автомобиля. Этот комплект решает все мыслимые задачи — от прослушивания музыки в Spotify до дистанционной диагностики авто. Неудивительно, что IAB попросила экспертов «Лаборатории Касперского» оценить риски безопасности при пользовании «подключенным» автомобилем, именно основываясь на воплощении от BMW.

Разумеется, наиболее тревожные сценарии атаки на авто включают взлом руля и тормозов, что было ранее продемонстрировано для других автобрендов, но в этом исследовании эксперты сфокусировались на возможных атаках «стандартной» функциональности «подключенного» автомобиля. Наиболее интригующая возможность, конечно, это отпирание автомобиля без ключа, при помощи смартфона и специального приложения My BMW Remote. К чести BMW, разработчики проделали неплохую работу, использовав в этом сервисе двухфакторную аутентификацию, которая требуется для установки «ключа» на смартфон. Тем не менее любой эксперт, имевший дело с банковскими троянцами, легко опишет целый ряд трюков, которые используются преступниками, чтобы обойти этот тип защиты. Комбинация фишинга, кейлоггинга, атаки «человек посередине» с социальной инженерией позволяет обойти даже сложную защиту. В практическом тесте исследователь смог перехватить учетные данные «условной жертвы» и установить дубликат ключа на собственный смартфон, получив право отпереть машину без законного владельца.

«Появление подключенных к Сети автомобилей может привести к распространению тех угроз, которые ранее были актуальны лишь для компьютерного мира. Риски, с которыми могут столкнуться владельцы подобных машин, варьируются от кражи паролей и геолокационных данных до получения доступа к сервисам дистанционного управления автомобилем и несанкционированного открытия дверей. В связи с этим в автомобильном мире конфиденциальность станет критически важна, а автовладельцам придется научиться замечать новые риски, которых не существовало в прошлом», — отметил Висенте Диаз, ведущий антивирусный эксперт «Лаборатории Касперского».

Новости недели: от возвращения MiniDuke до эксперимента Facebook

Пока часы неумолимо приближают окончание рабочей недели, мы традиционно подводим итоги недели, рассказывая вам о самых интересных событиях прошедших дней: эксперименты Facebook над людьми, запрет SMS-рассылок и другие новости.

Советы