Android для автомобилей: а соединение-то безопасное?

[KL FC Bot]

Комедия «Где моя тачка, чувак?» (2000) рассказывает о двух парнях, которые никак не могут вспомнить, где они припарковали свою машину. Такая ситуация может приключиться не только в кино, но и в реальной жизни. Ну то есть не совсем такая, конечно, иначе комедия не была бы комедией, но многие наверняка забывали, где именно на парковке перед торговым центром стоит их автомобиль.

Спустя 17 лет после выхода фильма люди перешли на смартфоны и приложения, в том числе на приложения для автомобилей. Почему нет? Это ведь очень удобно: приложения среди прочего позволяют не попасть в ту самую дурацкую ситуацию — можно удаленно найти свой автомобиль.

В этом году на конференции RSA в Сан-Франциско наши антивирусные эксперты Виктор Чебышев и Михаил Кузин рассказали о своем исследовании, посвященном безопасности нескольких популярных приложений для автомобилей.

Основные функции этого софта — разблокировка дверей и включение двигателя. Удобное ПО, но, к сожалению, немного дырявое. Наши эксперты нашли в нем следующие уязвимости:

• Нет защиты от обратной разработки. Это значит, что злоумышленники могут покопаться в коде и обнаружить дыры, которые позволят им добраться до серверной инфраструктуры или до мультимедийной системы автомобиля.
• Нет проверки целостности кода. Это позволяет преступникам встроить собственный код в приложение, добавив ему несколько вредоносных возможностей или вообще заменив исходную программу ее вредоносным клоном.
• Нет технологий обнаружения «рутинга». Права суперпользователя позволят троянам творить с приложением практически что угодно.
• Нет защиты от троянов, которые помещают свой интерфейс поверх окна приложения. Это значит, что вредоносное ПО может показать пользователю фишинговое окно вместо настоящего, чтобы обманом вынудить его ввести свои логин и пароль.
• Логин и пароль хранятся в незашифрованном виде. Недостаток защиты помогает преступникам украсть данные пользователя.

Взломав эти приложения, атакующий может частично перехватить контроль над машиной: разблокировать двери, отключить сигнализацию и в теории даже украсть транспортное средство. Исследователи сообщили разработчикам обо всех обнаруженных ошибках. С подробным отчетом вы можете ознакомиться на Securelist.

Стоит также отметить, что это далеко не первое исследование, посвященное уязвимостям автомобилей. В прошлом и позапрошлом году исследователи Чарли Миллер и Крис Валасек удивили всех, обнаружив целый букет уязвимостей в джипах Cherokee.

Как перехватить контроль над Jeep Cherokee, несущимся по шоссе со скоростью 110 км/ч: https://t.co/g9pY5N4AJ2 pic.twitter.com/UJcPhrto1J

— Kaspersky Lab (@Kaspersky_ru) July 24, 2015

 

В конечном счете степень защиты персональных данных часто зависит от личных предпочтений пользователя. К сожалению, выбирая подключенные устройства, люди часто отдают предпочтение удобству, а не безопасности.

«Приложения для умных авто пока не могут противостоять вредоносному ПО, — заключил Чебышев. — По нашим прогнозам, производители автомобилей будут вынуждены более плотно заняться вопросами кибербезопасности, как это уже сделали банки. К счастью, мы пока не обнаружили ни одного случая атаки на приложения для автомобилей, так что время еще есть. Сколько именно — точно не известно. Современные трояны очень гибкие — сегодня они ведут себя как рекламное ПО, а завтра скачивают дополнительные модули и начинают охоту на приложения».

Читать далее >>