Кто может управлять вашим автомобилем за вашей спиной?

Результаты оказались неутешительными: в каждом из приложений были обнаружены проблемы с безопасностью. Вот главные из них:

  • Отсутствует защита от обратной разработки, или реверс-инжиниринга. Злоумышленники могут подробно изучить код программы, понять, как она работает, и найти уязвимости. Те, в свою очередь, дают им возможность получить доступ к серверной инфраструктуре.
  • Отсутствует контроль целостности кода. Преступники могут интегрировать свой собственный код в приложение, и тогда в системе окажутся две версии программы: оригинал и его вредоносная модификация.
  • Отсутствует контроль рутинга — получения прав суперпользователя на устройстве. Root- права дают зловредам почти неограниченные возможности и фактически лишают приложение какой-либо защиты.
  • Отсутствует защита от перекрытия окон. Вредоносная программа может показать фишинговое окно поверх оригинального приложения и украсть пользовательские данные.
  • Логины и пароли хранятся в виде обычного текста, что упрощает злоумышленнику задачу их получения.

Эти уязвимости дают преступнику возможность открыть двери автомобиля, выключить сигнализацию, включить зажигание — в общем, получить если не полный, то весьма значительный контроль над машиной.

умный автомобиль

Такие атаки требуют предварительной подготовки со стороны злоумышленника: например, он должен обманом заставить владельца машины установить вредоносное ПО, которое получит root-права доступа к устройству, а затем и к приложению для управления автомобилем. Но как показывает опыт «Лаборатории Касперского», для серьёзных преступников это не представляет труда, особенно если они знакомы с техниками социальной инженерии.

«Главный вывод нашего исследования — автомобильные приложения в их нынешнем состоянии совершенно беззащитны перед атаками. Мы полагаем, что тут автопроизводителям пригодится опыт банков. Первые банковские приложения страдали от тех же проблем, что перечислены в отчёте. Но многочисленные атаки вынудили разработчиков серьёзно поработать над безопасностью, — комментирует Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского». — Автомобилям пока везёт: мы ещё не зафиксировали ни одного случая атаки на их приложения. У автопроизводителей есть время, чтобы все исправить, но неизвестно, как много. Современные троянцы очень гибки: сегодня они могут работать как обычная рекламная программа, а завтра обновиться таким образом, что получат возможность атаковать другие приложения.».

Как не дать управление своим авто злоумышленнику?

Эксперты «Лаборатории Касперского» рекомендуют владельцам подключённых к Интернету автомобилей принять следующие меры, чтобы защитить свою машину и личные данные от кибератак:

  • Не устанавливайте приложения из непроверенных источников, а лучше отключите эту опцию в устройстве.
  • Если на вашем устройстве включены root-права, удалите их: это открывает почти неограниченные возможности для вредоносного ПО.
  • Регулярно обновляйте операционную систему устройства. Обновления закрывают уязвимости в программном обеспечении и снижают риск атак.
  • Установите на устройство проверенное защитное решение.

По словам экспертов, пока нет ни одного зафиксированного случая атаки на приложения для автомобилей. У автопроизводителей есть время, чтобы все исправить, но неизвестно, как много.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Имя
E-mail

 

Комментарии к записи Кто может управлять вашим автомобилем за вашей спиной?