Sam Curry zademonstrował w jaki sposób cyberprzestępcy przejmują kontrolę nad pojazdami i zdalnie je odblokowują lub blokują, włączając lub wyłączając silnik bądź używać klaksonu. W serii tweetów Curry zademonstrował, w jaki sposób wykorzystał luki w aplikacji Hyundai i interfejsie API, aby ominąć kontrole autoryzacji. Znając tylko adres e-mail jego właściciela udało mu się przejąć jego konto. Później okazało się, że na to samo ryzyko są narażeni użytkownicy samochodów Genesis.
Sam Curry, zachęcony wcześniejszymi odkryciami, zaczął badać luki w zabezpieczeniach dotyczące innych producentów – szczególnie korzystających z platformy telematycznej SiriusXM Connected Vehicle Services. Okazało się, że posługując się używaną wcześniej techniką można było zdalnie zatrzymywać lub uruchamiać auta, migać reflektorami lub trąbić klaksonem, a także wydobyć bez upoważnienia dane osobowe właściciela (nazwisko, numer telefonu, adres i informacje o samochodzie).
Wywołania API dla usług telematycznych działały, nawet jeśli użytkownik nie miał już aktywnej subskrypcji SiriusXM. Sam Curry zauważył, że może dowolnie rejestrować lub wyrejestrowywać właścicieli pojazdów z usługi.
Aplikacje z założenia mają ułatwiać życie kierowcom i wielu przypadkach tak się dzieje. Niestety, stały się one też celem ataków hakerów. Wszystko wskazuje na to, że problem ten będzie narastał. W związku z tym należy uczulić zarówno dostawców aplikacji, jak i producentów aut, aby podchodzili z należytą uwagę do kwestii bezpieczeństwa. Poza tym właściciele samochodów czasami nadmiernie ekscytują się możliwością zdalnej kontroli nad samochodami za pomocą różnego rodzaju programów, nie przywiązując należytej uwagi do kwestii bezpieczeństwa.
Warto podkreślić, że Sam Curry poinformował producentów o lukach w zabezpieczeniach przed upublicznieniem informacji. Natomiast rzecznik Hyundaia zapewnił, że nie odnotowano żadnych przypadków włamań, poza tymi ujawnionymi przez badaczy bezpieczeństwa.
Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS