Приложения для дистанционного управления машиной — находка для преступников

  • 24 Фев, 2017

«Лаборатория Касперского» выяснила, насколько хорошо защищены от атак приложения для дистанционного управления автомобилем с подключением к Интернету.

В ходе исследования изучались программы семи крупных автопроизводителей: число загрузок этих мобильных приложений в Google Play колеблется от нескольких десятков тысяч до пяти миллионов. Эксперты проверили ДУ-клиенты на предмет слабых мест, которыми могут воспользоваться злоумышленники для доступа к инфраструктуре автомобиля.

Мобильные приложения и угон автомобиля

На протяжении последних нескольких лет набирает популярность концепция connected car — автомобили с доступом в интернет. Речь идет не только о инфо-мультимедиа системах (музыка, карты, фильмы на борту доступны на современных автомобилях премиум сегмента), но и о ключевых как в прямом, так и в переносном смысле системах автомобиля.

С помощью специализированных мобильных приложений можно получить координаты автомобиля, его маршрут, открыть двери, запустить двигатель, включить вспомогательные устройства. С одной стороны, это чрезвычайно полезные возможности, которыми пользуются уже миллионы людей, с другой стороны – окажись у угонщика доступ к мобильному устройству жертвы, на котором установлено такое приложение, разве угон авто не станет сущим пустяком?

Для экспериментов были взяты 7 наиболее популярных приложений от известных брендов и проверили их на предмет слабых мест, которыми могут воспользоваться злоумышленники для доступа к инфраструктуре автомобиля. Результаты оказались неутешительными: в каждом из приложений были обнаружены проблемы с безопасностью.

«Лаборатория Касперского» выделяет пять основных моментов, которые вызывают серьезные опасения:

  1. Отсутствует защита от обратной разработки, или реверс-инжиниринга. Злоумышленники могут подробно изучить код программы, понять, как она работает, и найти уязвимости.
  2. Не предусмотрен контроль целостности кода. Преступники могут интегрировать свой собственный код в приложение, и тогда в системе окажутся две версии программы — оригинал и его вредоносная модификация. Последняя позволит получить несанкционированный доступ к автомобилю.
  3. Отсутствует контроль Root-доступа. Между тем такие права дают зловредам почти неограниченные возможности и фактически лишают приложение какой-либо защиты.
  4. Нет защиты от перекрытия окон: вредоносное ПО может показать фишинговое окно поверх оригинального приложения и украсть пользовательские данные.
  5. Логины и пароли зачастую хранятся в виде обычного текста. А это означает, что их кража не представляет особого труда.

В целом, говорят эксперты, безопасность автомобильных приложений в их нынешнем виде оставляет желать много лучшего. В случае успешной атаки злоумышленники могут открыть двери автомобиля, выключить сигнализацию, включить зажигание и пр.

Более подробно с результатами исследования можно ознакомиться здесь.

Подписывайтесь на Квибл в Viber и Telegram, чтобы быть в курсе самых интересных событий.