Угнать по телефону
Эксперты "Лаборатории Касперского" проанализировали мобильные приложения под Android, предназначенные для удаленного управления отдельными системами "умных" автомобилей. Эти приложения разработаны внутри компаний-автопроизводителей и являются совершенно официальными. Однако в них нашлось огромное количество нарушений базовых правил кибербезопасности.
Например, в них отсутствует защита от реверс-инжиниринга. Приложив не очень большие усилия, злоумышленники смогут выяснить все слабые места приложения и даже получить доступ к серверной инфраструктуре или всей мультимедийной "начинке" автомобиля. Учитывая, что, как минимум, у некоторых "умных" машин мультимедийно-развлекательные системы не изолированы от функций приборной панели, это означает возможность брать под контроль любые бортовые системы, пусть даже и теоретическую.
В официальных приложениях отсутствует проверка цельности кода. Это значит, что злоумышленники могут внедрять в код легитимных приложений вредоносные компоненты без особых проблем и заметных на первый взгляд последствий.
В приложениях нет методов обнаружения "рутинга" - неофициального получения владельцем прав системного администратора. Если смартфон с "автомобильным" приложением оказывается "рутован" вредоносной программой, то приложение окажется беззащитным. В них нет защиты от оверлейинга. Это значит, что вредоносное ПО может выводить фишинговые окна поверх автомобильных приложений, воруя таким образом логины и пароли.
Наконец, логины и пароли в них хранятся без шифрования.
Как отмечается в публикации "Лаборатории Касперского", злоумышленники в теории могут получать полный контроль над бортовыми системами, - в том числе, открывать двери, разблокировать тормоза и отключать сигнализацию.
В каждом случае, правда, потребуется определенная подготовка: понадобится каким-то образом заставить пользователя установить вредоносное приложение, которое произведет рутинг, но это не большая проблема, учитывая, как активно и успешно киберпреступники эксплуатируют социальную инженерию для кражи кодов доступа к банковским счетам.
Те же грабли, вид сбоку
Эксперты "Лаборатории Касперского" указывают, что автомобильные приложения на сегодняшний день представляют слишком большую угрозу, чтобы ее можно было игнорировать. Разработчики автомобилей тратят бешеные силы и средства на производство новых моделей с новыми и сложными бортовыми системами. Но все эти агрегаты оказываются под угрозой поломки или кражи из-за плохо написанных мобильных приложений.
С той же проблемой в прошлом сталкивались банки: их мобильные приложения были почти что лишены защиты, что привело к бесконечным и весьма успешным атакам.
"Теперь, после многочисленных случаев атак на мобильные банковские приложения, многие банки усилили защиту своих программ. По счастью, мы пока не наблюдали атак, направленных на автомобильные приложения, и это означает, что у производителей еще есть время все исправить. Однако, сколько у них этого времени, неизвестно. Современные троянцы очень гибки: сегодня они подсовывают непрошенную рекламу, а завтра - докачивают новые модули, позволяющие им атаковать мобильные приложения. Поверхность атаки тут огромна, - заявил эксперт "Лаборатории" Виктор Чебышев.
Застарелая проблема
То, что "умные" автомобили уязвимы, и чем больше они напичканы электроникой, тем выше уровень этой уязвимости, за последние годы было продемонстрировано неоднократно. В 2015 г. знаменитые "автохакеры" Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek) показали, как можно удаленно ставить под контроль джип Cherokee, - в ходе демонстрации хакеры отключили тормоза у машины.
Водитель - журналист, принимавший участие в эксперименте, - по итогам произошедшего язвительно заметил, что подобное возможно потому, что "Chrysler, как практически все остальные производители авто, изо всех сил старается превратить современный автомобиль в смартфон".
Между тем, баги в прошивке смартфона не представляют угрозу для жизни, в то время как программные ошибки в бортовой системе автомобиля могут иметь катастрофические последствия.
В 2015 г. Альянс автопроизводителей США объявил о создании Аналитического центра обмена данными, для того чтобы справиться с киберугрозами и уязвимостями в бортовой электронике и автомобильных сетях. Вдобавок, американские законодатели объявили, что готовят законопроект, требующий соблюдения автопроизводителями определенных стандартов защиты от цифровых атак и сохранения конфиденциальности. Но речь шла, главным образом, о бортовых системах. А не о мобильных приложениях, даром, что они позволяют эти системы "ломать" как угодно.
"Мобильные приложения, как мы видим, могут представлять не меньшую угрозу для безопасности бортовых автомобильных систем, чем программные недочеты и недостатки архитектуры в самих этих системах, - говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". - По большому счету, нужны общеотраслевые стандарты безопасности для любых приложений, которые позволяют удаленно управлять какими бы то ни было автомобильными системами. Иначе риск катастрофы слишком велик".