Hakują samochody!

Entuzjaści motoryzacji powinni zdać sobie sprawę z tego, że połączenie auta z internetem to coś więcej niż asystent parkowania czy nawigacja. Daje ono dostęp do informacji zapisanych w portalach społecznościowych, poczcie e-mail, smartfonie (jeżeli jest połączony z samochodem), danych z nawigacji, aplikacji działających w ramach systemu operacyjnego pojazdu itp. Technologie te oferują kierowcom wiele udogodnień, jednak stawiają także nowe wyzwania w kwestii bezpieczeństwa. Z tego powodu eksperci z Kaspersky Lab oraz IAB Spain, hiszpańskiego związku organizacji z branży marketingu i komunikacji cyfrowej uznali, że konieczne jest dokonanie analizy różnych metod, które mogłyby zostać wykorzystane przez cyberprzestępców do wykradania danych, a nawet - potencjalnie - do uszkodzenia samochodu.

Z przeprowadzonego badania wynika, że istnieją trzy główne kanały, które mogą zostać wykorzystane przez cyberprzestępców: prywatność, uaktualnienia oraz aplikacje dla smartfonów. "Samochody połączone z siecią mogą otworzyć drzwi dla zagrożeń, które od dawna istnieją w świecie komputerów i smartfonów. Na przykład, cyberprzestępca, który wejdzie w posiadanie hasła użytkownika, będzie mógł zlokalizować samochód i zdalnie otworzyć jego drzwi. Kwestie związane z prywatnością są tutaj bardzo istotne i entuzjaści nowoczesnej motoryzacji powinni być świadomi nowych zagrożeń, które wcześniej po prostu nie istniały" - komentuje Vicente Diaz, główny badacz bezpieczeństwa w Kaspersky Lab.

W celu stworzenia modelu badawczego eksperci wykorzystali system ConnectedDrive funkcjonujący w samochodach BMW i znaleźli w nim kilka sposobów na przeprowadzenie potencjalnych ataków:

Kradzież danych logowania - gdy cyberprzestępca wejdzie w posiadanie danych wymaganych do zalogowania się do systemu BMW (atakujący może tego dokonać przy użyciu phishingu, szkodliwego programu lub socjotechniki), uzyska on nieautoryzowany dostęp do informacji kierowcy i danych o samym samochodzie. W tym momencie atakujący będzie mógł zainstalować w swoim smartfonie aplikację BMW ze skradzionymi danymi logowania, otworzyć auto, a nawet odjechać nim.

Aplikacja mobilna - aktywowanie przez właściciela samochodu funkcji zdalnego otwierania pojazdu jest tożsame ze stworzeniem nowego kompletu kluczyków. Jeżeli dostęp do aplikacji nie jest zabezpieczony, każdy, kto wejdzie w posiadanie smartfona kierowcy, będzie mógł uzyskać dostęp do samochodu. W takim przypadku skradziony smartfon pozwoli atakującemu na zdalne aktywowanie funkcji samochodu i dokonywanie modyfikacji w jego ustawieniach.

Uakualnienia - uaktualnienia sterowników Bluetooth wykorzystywanych w samochodzie są pobierane ze strony BMW i instalowanie z użyciem nośnika USB (np. pendrive). Plik ten nie jest w żaden sposób zaszyfrowany ani podpisany cyfrowo i można w nim znaleźć wiele informacji o wewnętrznych systemach auta. Może to dać przestępcy dostęp do szczegółów atakowanego środowiska, a w skrajnym przypadku atakujący może zmodyfikować takie uaktualnienie, co da mu możliwość uruchamiania własnych szkodliwych aplikacji w ramach systemu operacyjnego pojazdu.

Komunikacja - pewne funkcje systemu samochodu komunikują się z wykorzystywaną w nim kartą SIM poprzez wiadomości SMS. Włamanie się do tego kanału komunikacji może pozwolić na wysyłanie fałszywych poleceń. W najgorszym scenariuszu przestępca może zastąpić polecenia przesyłane przez BMW własnymi.

Wygląda więc na to, że samochód można zhakować. A co z nawigacją satelitarną? Zapytaliśmy o to Marcina Maroszka z firmy Emapa. "W kontekście nawigacji samochodowej oczywiście istnieje ryzyko włamania się do systemu i nadpisania aplikacji tak, aby działała inaczej niż zakładają to pierwotne algorytmy. I jest to groźba, którą w obliczu postępującej digitalizacji i przenoszenia systemów informatycznych do chmury trudno wyeliminować, a która jest tak samo realna w przypadku systemów instalowanych w pojazdach, jak i tych w zwykłych komputerach" - wyjaśnia Marcin Maroszek.

Jego zdaniem należy spodziewać się rozwoju oprogramowania antywirusowego - analogicznie jak miało to miejsce w przypadku komputerów, a później smartfonów i tabletów. "Pytanie jednak, komu tak naprawdę zależałoby na zhakowaniu systemu do nawigacji? Jest to bądź co bądź proces pracochłonny, wymagający odpowiedniej wiedzy i zasobów (włamanie się do systemu, zapoznanie się z nim, napisanie odpowiedniej aplikacji czy stworzenie wirusa). Wydaje się, że zwykły Kowalski nie ma się czego obawiać. Zabezpieczać na pewno będą się natomiast przedstawiciele władzy czy biznesu, w przypadku których groźba ataków hakerskich jest znacznie większa" - mówi Marcin Maroszek z Emapy.

Maciej Pobocha, źródło: Kaspersky Lab