Специалисты по кибербезопасности выявили критическую брешь в защите сервисного портала южнокорейской автомобильной компании Kia, которая открывала злоумышленникам возможность дистанционного проникновения в транспортные средства и слежки за их владельцами. Для реализации атаки злоумышленнику требовалось лишь знать государственный номер машины потенциальной жертвы. Подробности уязвимости — далее в материале.
Транспорт как цифровая платформа
Многие не осознают, но современные авто за последние 20 лет эволюционировали в полноценные вычислительные системы на колёсах. Даже базовые модели насыщены электронными модулями и сенсорами разного назначения — от ультразвуковых парктроников и камер до GPS-приёмников и детекторов движения.
В последнее время машины превратились не просто в компьютеры, а в интернет-устройства с постоянным онлайн-подключением. Ранее мы уже освещали, как производители собирают детальную информацию о пользователях:
- Маршруты передвижений
- Стиль вождения
- Мультимедийные предпочтения
Эти данные часто попадают к сторонним компаниям, например страховым организациям. Однако существует и обратная сторона технологической интеграции — уязвимости в автомобильных системах или сопутствующих облачных сервисах могут стать лазейкой для несанкционированного доступа.
Мультимедийный экран салона — лишь видимая часть сложной электронной архитектуры современного авто
Опасность единой бреши
Именно такая ситуация произошла с веб-платформой Kia для клиентов и дилерских центров. Аналитики обнаружили, что через API интерфейс злоумышленник мог с минимальными усилиями зарегистрироваться как авторизованный дилер.
Скриншот компрометированного веб-ресурса Kia. Источник
Эта привилегия предоставляла доступ к функционалу, который по идее должен быть ограничен даже для официальных дилеров после продажи авто. В частности, через систему можно было найти любой автомобиль марки по VIN-коду и получить персональные данные владельца:
- ФИО
- Мобильный телефон
- Электронную почту
- Домашний адрес
При этом VIN-номер во многих странах считается публичной информацией — существуют онлайн-сервисы для его получения по автомобильным номерам.
Визуализация процесса взлома через веб-портал Kia. Источник
Получив данные собственника, атакующий мог привязать машину к своему аккаунту в системе Kia, получив тем самым стандартный набор функций мобильного приложения владельца. Примечательно, что такие привилегии доступны не только дилеру-продавцу, но любому официальному представителю бренда.
Взлом автомобиля в реальном времени
Для демонстрации угрозы специалисты разработали тестовое приложение, позволявшее за несколько секунд получить управление любым авто Kia после ввода его регистрационного знака. Программа автоматически определяла VIN через сторонние ресурсы и регистрировала транспорт в системе взломщика.
Интерфейс исследовательского приложения для взлома. Источник
Через интерфейс можно было выполнять ключевые операции:
- Получать текущие координаты
- Блокировать/разблокировать двери
- Дистанционно заводить двигатель
- Активировать звуковой сигнал
Пример отслеживания местоположения и управления функциями авто. Источник
Характерно, что для большинства моделей этих возможностей недостаточно для угона благодаря штатным иммобилайзерам. Однако уязвимость открывала перспективы для:
- Тайного наблюдения за перемещениями
- Кражи вещей из салона при разблокировке
- Дистанционного саботажа
Исследователи соблюли этические нормы — сообщили о проблеме производителю до публикации отчёта. Однако эксперты отмечают, что подобные инциденты будут повторяться по мере усложнения автомобильной электроники.
Меры безопасности для умных авто
Напомним, что в сентябре Kaspersky совместно с разработчиками электромобиля «Атом» и компанией Kraftway анонсировали партнёрство по созданию защищённых решений для транспорта.
В рамках сотрудничества представлен прототип защитного шлюза на базе Kaspersky Automotive Secure Gateway, который будет интегрирован в электронную архитектуру автомобиля.
Функционал защитного шлюза в экосистеме подключённого автомобиля. Источник
Этот компонент выполняет роль межсетевого экрана, контролируя данные между автомобильными системами и внешними сетями. Устройство фильтрует входящий/исходящий трафик, блокируя несанкционированные доступы к критическим узлам.
Таким образом, в скором времени автомобиль может пополнить список устройств, защищаемых решениями Kaspersky — наряду с компьютерами и смартфонами.
