W ubiegłym tygodniu pojawiły się informacje na temat firmy Nissan, która zawiesiła działanie aplikacji mobilnej pozwalającej na zdalne kontrolowanie wybranych funkcji samochodu Leaf po tym, jak niezależnemu badaczowi udało się włamać do pojazdu przy użyciu funkcji dostępnych publicznie w internecie.
Pojawił się komentarz w sprawie włamania do auta.
„Coraz więcej nowoczesnych samochodów wyposażonych jest w możliwość zdalnego kontrolowania pewnych systemów, np. klimatyzacja, zamek centralny itp. poprzez aplikację zainstalowaną na smartfonie kierowcy. Komputery realizują coraz więcej funkcji w samochodach, co umożliwia rozszerzanie listy opcji, które mogą być sterowane zdalnie. Zgodnie z naszymi prognozami, aplikacje na smartfonach kierowców będą niedługo pozwalały na kontrolowanie nawet krytycznych systemów pojazdów. W niedawnym przypadku z samochodem Nissan Leaf mieliśmy do czynienia z następującym scenariuszem: badacz pobrał aplikację, która pozwala na kontrolowanie systemów samochodu i użył numeru VIN pojazdu, by połączyć się z jego panelem sterowania. Numer VIN był jedynym zabezpieczeniem wymaganym do połączenia się z pojazdem. Nietrudno wyobrazić sobie, w jaki sposób takie działanie mogłoby zostać wykorzystane do szkodliwych celów – wystarczyłoby wprowadzić inny numer VIN, by połączyć się z kolejnym samochodem.
Mimo że funkcjonalność dostępna w omawianym przypadku jest dość ograniczona (zdalne sterowanie klimatyzacją i systemem rozrywkowym), łatwość, z jaką badacz zdołał uzyskać dostęp, powinna zaalarmować producentów oprogramowania wykorzystywanego na rynku motoryzacyjnym. Wspomnianemu 'atakowi’ można było stosunkowo łatwo zapobiec – wystarczyło zastosować procedury bezpiecznego uwierzytelniania między samochodem i aplikacją zainstalowaną na smartfonie w połączeniu z szyfrowaniem danych. Przykład Nissana po raz kolejny pokazuje, że producenci samochodów powinni przykładać coraz większą wagę do kwestii cyberzagrożeń w odniesieniu do samochodów podłączonych do internetu”.
Komentarz przygotował: Siergiej Lożkin, starszy badacz ds. bezpieczeństwa IT, Kaspersky Lab.
Źródło: Kaspersky Lab