Сегодняшние машины — это мобильные компьютеры, часто с доступом в Сеть. Помимо выпуска авто, бренды разрабатывают программы для их дистанционного контроля: определения местоположения, активации климат-системы, управления замками и других функций.
Однако стандартные приложения не всегда удовлетворяют индивидуальные запросы, поэтому появляются сторонние решения с уникальными возможностями. Это удобно, но вызывает вопросы о защищенности. Наши эксперты провели анализ этой сферы.
Кому доступно управление вашей машиной?
Для авторизации система запрашивает логин и пароль. В случае фирменного ПО данные не передаются третьим лицам. Хотя абсолютную защиту не гарантирует никто, автопроизводители обязаны соблюдать отраслевые стандарты безопасности.
Сторонние программы часто используют специальные API производителей — это ограничивает доступ (например, блокирует удаленную разблокировку) и не требует передачи учетных данных. Такие решения относительно безопасны, но редки.
Большинство независимых разработок запрашивают полные права доступа к вашему аккаунту у бренда. При этом на них не распространяются строгие требования защиты, применяемые к автоконцернам. Здесь и кроется основной риск.
Прозрачность как исключение
Специалисты изучили 155 сторонних решений: 69 мобильных приложений, 81 проект с открытым кодом и несколько веб-платформ. Большая часть ориентирована на Tesla, в топ-5 также вошли Nissan, Renault, Ford и Volkswagen.
В фокусе исследования были приложения, использующие оригинальные аккаунты. Более 50% разработчиков не информировали пользователей о рисках передачи данных. Остальные заверяли, что не хранят данные или шифруют их, ссылаясь на использование одноразовых токенов. Однако токены обеспечивают те же права, что и пароли. Проверить реальные методы хранения невозможно — приходится полагаться на добросовестность создателей.
14% исследованных приложений не предоставляли рабочих контактов для связи — страницы разработчиков в соцсетях были удалены или отсутствовали.
Веб-сервисы аналогично требуют доверия к обработке данных. Решения с открытым кодом теоретически прозрачнее, но требуют технической экспертизы для анализа. Дополнительный нюанс: некоторые сервисы используют скрытых посредников для связи с системами автопроизводителей, передавая им ваши учетные данные без вашего ведома.
Чем грозит доступ посторонних программ к авто?
При ненадежном хранении данных злоумышленники могут получить контроль над второстепенными функциями: дверями, климат-контролем, сигнализацией, фарами. Например, хаотичное срабатывание сигнализации во время движения способно спровоцировать ДТП.
Это кажется маловероятным, но утекшие данные могут стать инструментом для сетевых хулиганов, которые будут использовать их ради забавы, не задумываясь о последствиях.
Кроме того, взлом дает доступ к геолокации, позволяя отслеживать передвижения владельцев глобально. Яркий пример — инцидент с TeslaMate (сервис для анализа телеметрии Tesla). Исследователь обнаружил, что данные пользователей хранились с паролем по умолчанию, а часть информации была общедоступной. Это позволило ему просматривать маршруты, места парковки и даже управлять функциями авто. Уязвимость оперативно устранили, но случай демонстрирует риски неофициального ПО.
Стоит ли исключить сторонние приложения?
Отказываться от них полностью не обязательно. Некоторые разработчики ответственно подходят к защите данных, как создатели TeslaMate, оперативно исправляющие ошибки. Также существуют программы, работающие через ограниченный доступ без полных учетных данных.
При выборе неофициального ПО:
- Изучите репутацию разработчика: доступность контактов, прозрачность политик.
- Ищите экспертные обзоры и отзывы технических специалистов.
Если решите удалить приложение:
- Не просто деинсталлируйте его, а отмените подписку или удалите аккаунт в сервисе.
- Смените пароль в аккаунте автопроизводителя.
- Через техподдержку бренда отзовите права доступа для приложения.
