Kaspersky Lab исследовала уязвимости новейших автомобилей с сетевыми возможностями – так называемых «подключенных машин», оснащенных средствами навигации, ориентирования, связи с Интернетом и другими современными технологиями. Этот анализ стал частью большого независимого исследования, проведенного испанским представительством ассоциации Interactive Advertising Bureau, содействующей развитию интерактивной рекламы в разных странах мира. Для изучения были выбраны автомобили BMW как одного из лидеров индустрии.
В ходе исследования эксперты Kaspersky Lab выявили две категории рисков, с которыми могут столкнуться владельцы и производители подключенных к Сети автомобилей. Первая из них связана с возможностью получения злоумышленниками доступа к данным для управления автомобилем через специальное мобильное приложение. Вторая же группа рисков обусловливается возможностью утечки конфиденциальных данных при получении обновлений для автомобильного ПО. Худший вариант развития событий в обоих случаях – несанкционированный доступ к автомобилю.
Для того чтобы отпереть двери современной машины с сетевыми возможностями, ее владелец может воспользоваться специальным приложением на смартфоне, что, безусловно, очень удобно. Однако таким же способом разблокировки замков могут воспользоваться и злоумышленники. Фишинговые приемы, социальная инженерия, кейлоггеры и прочие уловки помогут киберпреступникам получить доступ к этому приложению – и тогда они легко узнают местоположение автомобиля и смогут украсть его так же, как и пароль от приложения на смартфоне или сам смартфон.
Потенциальная опасность утечки данных для управления машиной может быть также вызвана небезопасным способом хранения информации в приложении. Сегодня в телефоне автовладельца, как правило, содержится очень много информации как о нем самом, так и об автомобиле, в частности такие важные данные, как идентификационный номер машины (VIN) или ее местоположение. И зачастую эта чрезвычайно конфиденциальная информация хранится в незашифрованном виде, а коммуникация с автомобилем осуществляется посредством SMS. Обладая необходимыми навыками, злоумышленники могут перехватить сообщения и получить доступ к автомобилю.
Еще одна уязвимость подключенных к Сети автомобилей кроется в способах получения обновлений используемого в них программного обеспечения. К примеру, в исследовавшихся машинах вместе с обновлениями для Bluetooth поставлялись сведения о ПО, которое используется для встроенных систем информирования и развлечений, а также другие технические данные, потенциально позволяющие разобрать код программ и даже создать новые версии. Более того, для получения обновлений и копий автомобильного ПО машина как таковая не нужна – достаточно просто ввести верный VIN на сайте автопроизводителя, что существенно облегчает задачу злоумышленникам.
«Появление подключенных к Сети автомобилей может привести к распространению тех угроз, которые ранее были актуальны лишь для компьютерного мира. Риски, с которыми могут столкнуться владельцы подобных машин, варьируются от кражи паролей и геолокационных данных до получения доступа к сервисам дистанционного управления автомобилем и несанкционированного открытия дверей. В связи с этим в автомобильном мире конфиденциальность станет критически важна, а автовладельцам придется научиться замечать новые риски, которых не существовало в прошлом», – отметил Висенте Диаз, ведущий антивирусный эксперт Kaspersky Lab.