В приложениях для Hyundai и других авто нашли уязвимости, позволяющие дистанционно захватить контроль над машиной
6 декабря 2022
Как минимум в трёх мобильных приложениях, предназначенных для дистанционного запуска автомобилей и разблокировки замков, обнаружены уязвимости, позволяющие удалённо выполнять различные команды. Речь идёт о приложениях Hyundai и Genesis, а также платформе SiriusXM, используемой различными автопроизводителями, включая Acura, Honda, Nissan, Toyota и др.
Источник изображения: Martin Katler/unsplash.com
Выявленная уязвимость в ПО Hyundai позволяет злоумышленникам перехватывать трафик между приложениями и автомобилями, выпущенными после 2012 года. При изучении софта MyHyundai и MyGenesis выяснилось, что идентификация пользователей осуществляется путём сравнения адреса электронной почты пользователя с другими параметрами. Добавляя к адресу электронной почты жертвы управляющие символы (байт-код) CR и LF, экспертам по кибербезопасности удавалось создать аккаунты, проходившие проверку системы безопасности и позволявшие запускать машину, отключать звуковой сигнал, контролировать систему кондиционирования, открывать багажник и т.п. По мнению специалистов, проблема кроется не в безопасности приложений, а в используемом ими API. Впрочем, они утверждают, что атаки подобного типа довольно трудно выполнять в массовом порядке, хотя они действительно опасны для владельцев автомобилей.
Также экспертами было исследовано одно из мобильных приложений на платформе SiriusXM — Nissan Connect. Выяснилось, что, зная VIN-номер автомобиля, можно получить массу информации о машине, включая имя водителя, его телефонный номер, адрес и прочие сведения.
Hyundai и SiriusXM были своевременно проинформированы о проблеме и уже выпустили обновления прошивок. Реальных атак с использованием уязвимостей не зарегистрировано, но эксперты считают, что подобные проблемы будут нарастать по мере того, как машины становятся всё более подключёнными, а сложность бортового ПО и его возможности продолжают расти.
Хотя подключённые и автономные автомобили во многом так же уязвимы, как и корпоративные информационные экосистемы, пострадавшие пользователи не имеют собственных служб кибербезопасности и им приходится полагаться только на добросовестность автопроизводителей. Сегодня автомобиль становится больше, чем просто транспортным средством. Поэтому перед производителями возникают всё более сложные вызовы.
Хочешь узнать больше - читай отзывы
← Вернуться на предыдущую страницу
Читайте также:
Стало відомо, про що зміг домовитись Лукашенко в Китаї 5 декабря 2023
Китайський лідер Сі Цзіньпін вдруге з початку року зустрівся з білоруським колегою Лукашенком у Пекіні.
У Росії фура врізалася у колону Росгвардії 4 декабря 2023
Далекобійник заснув за кермом і врізався в колону, яка складалася з росгвардійських автобусів і машин супроводу.
Зрадниця Яна Соломко, яка втекла з Росії до США, показала свого бойфренда, але її висміяли 4 декабря 2023
Зрадниця Яна Соломко, яка втекла з Росії до США, показала свого бойфренда, але її висміяли Підписники поцікавилися, чому ж обранець запроданки не на війні
5.0