6 декабря 2022
Как минимум в трёх мобильных приложениях, предназначенных для дистанционного запуска автомобилей и разблокировки замков, обнаружены уязвимости, позволяющие удалённо выполнять различные команды. Речь идёт о приложениях Hyundai и Genesis, а также платформе SiriusXM, используемой различными автопроизводителями, включая Acura, Honda, Nissan, Toyota и др.
Источник изображения: Martin Katler/unsplash.com
Выявленная уязвимость в ПО Hyundai позволяет злоумышленникам перехватывать трафик между приложениями и автомобилями, выпущенными после 2012 года. При изучении софта MyHyundai и MyGenesis выяснилось, что идентификация пользователей осуществляется путём сравнения адреса электронной почты пользователя с другими параметрами. Добавляя к адресу электронной почты жертвы управляющие символы (байт-код) CR и LF, экспертам по кибербезопасности удавалось создать аккаунты, проходившие проверку системы безопасности и позволявшие запускать машину, отключать звуковой сигнал, контролировать систему кондиционирования, открывать багажник и т.п. По мнению специалистов, проблема кроется не в безопасности приложений, а в используемом ими API. Впрочем, они утверждают, что атаки подобного типа довольно трудно выполнять в массовом порядке, хотя они действительно опасны для владельцев автомобилей.
Также экспертами было исследовано одно из мобильных приложений на платформе SiriusXM — Nissan Connect. Выяснилось, что, зная VIN-номер автомобиля, можно получить массу информации о машине, включая имя водителя, его телефонный номер, адрес и прочие сведения.
Hyundai и SiriusXM были своевременно проинформированы о проблеме и уже выпустили обновления прошивок. Реальных атак с использованием уязвимостей не зарегистрировано, но эксперты считают, что подобные проблемы будут нарастать по мере того, как машины становятся всё более подключёнными, а сложность бортового ПО и его возможности продолжают расти.
Хотя подключённые и автономные автомобили во многом так же уязвимы, как и корпоративные информационные экосистемы, пострадавшие пользователи не имеют собственных служб кибербезопасности и им приходится полагаться только на добросовестность автопроизводителей. Сегодня автомобиль становится больше, чем просто транспортным средством. Поэтому перед производителями возникают всё более сложные вызовы.
Хочешь узнать больше - читай отзывы
← Вернуться на предыдущую страницу
Доставка правильного питания Киев: растущий спрос на удобный сервис 27 января 2023
Если заинтересовала доставка рационов питания, то на первый заказ вы получите скидку 15%. Оформит заказ удобнее всего прямо на сайте.
SolarGarden: солнечные электростанции для всех! 27 января 2023
Энергетические запасы земных недр конечны, и это уже хорошо понятно каждому жителю нашей планеты. Поэтому человечеству пришло время всерьез задуматься о том, чтобы перейти на возобновляемые источники энергии
Вакарчук відреагував на винесений вирок білоруській співачці, яка виконала "Обійми" 26 января 2023
"Типові методи": Вакарчук відреагував на винесений вирок білоруській співачці, яка виконала "Обійми". Відео Дівчина отримала три роки "домашньої хімії"