«Подключенные автомобили» уязвимы к физическим и виртуальным кражам

«Лаборатория Касперского» исследовала уязвимости новейших автомобилей с сетевыми возможностями, оснащенных средствами навигации, ориентирования, связи с Интернетом и другими современными технологиями. Для изучения были выбраны автомобили BMW как одного из лидеров индустрии.

В ходе исследования эксперты выявили две категории рисков, с которыми могут столкнуться владельцы и производители подключенных к Сети автомобилей. Первая из них связана с возможностью получения злоумышленниками доступа к данным для управления автомобилем через специальное мобильное приложение. Вторая же группа рисков обусловливается возможностью утечки конфиденциальных данных при получении обновлений для автомобильного ПО. Худший вариант развития событий в обоих случаях — несанкционированный доступ к автомобилю.

Для того чтобы отпереть двери современной машины с сетевыми возможностями, ее владелец может воспользоваться специальным приложением на смартфоне, что, безусловно, очень удобно. Однако таким же способом разблокировки замков могут воспользоваться и злоумышленники. Фишинговые приемы, социальная инженерия, кейлоггеры и прочие уловки помогут киберпреступникам получить доступ к этому приложению — и тогда они легко узнают местоположение автомобиля и смогут украсть его так же, как и пароль от приложения на смартфоне или сам смартфон.

Потенциальная опасность утечки данных для управления машиной может быть также вызвана небезопасным способом хранения информации в приложении. Сегодня в телефоне автовладельца, как правило, содержится очень много информации как о нем самом, так и об автомобиле, в частности такие важные данные, как идентификационный номер машины (VIN) или ее местоположение. И зачастую эта чрезвычайно конфиденциальная информация хранится в незашифрованном виде, а коммуникация с автомобилем осуществляется посредством SMS. Обладая необходимыми навыками, злоумышленники могут перехватить сообщения и получить доступ к автомобилю.

Еще одна уязвимость подключенных к Сети автомобилей кроется в способах получения обновлений используемого в них программного обеспечения. К примеру, в исследовавшихся машинах вместе с обновлениями для Bluetooth поставлялись сведения о ПО, которое используется для встроенных систем информирования и развлечений, а также другие технические данные, потенциально позволяющие разобрать код программ и даже создать новые версии. Более того, для получения обновлений и копий автомобильного ПО машина как таковая не нужна — достаточно просто ввести верный VIN на сайте автопроизводителя, что существенно облегчает задачу злоумышленникам.

Стратегія охолодження ЦОД для епохи AI