Подключи и молись: «Лаборатория Касперского» выяснила, кто может управлять вашим автомобилем за вашей спиной


Эксперты «Лаборатории Касперского» проверили, насколько защищены от атак приложения для дистанционного управления автомобилем, подключенным к Интернету. Тестированию подверглись приложения семи крупных автопроизводителей. Число их загрузок в Google Play колеблется от нескольких десятков тысяч до пяти миллионов.


Результаты оказались неутешительными: в каждом из приложений были обнаружены проблемы с безопасностью. Вот главные из них:


  • Отсутствует защита от обратной разработки, или реверс-инжиниринга. Злоумышленники могут подробно изучить код программы, понять, как она работает, и найти уязвимости. Те, в свою очередь, дают им возможность получить доступ к серверной инфраструктуре.

  • Отсутствует контроль целостности кода. Преступники могут интегрировать свой собственный код в приложение, и тогда в системе окажутся две версии программы: оригинал и его вредоносная модификация.

  • Отсутствует контроль рутинга — получения прав суперпользователя на устройстве. Root- права дают зловредам почти неограниченные возможности и фактически лишают приложение какой-либо защиты.

  • Отсутствует защита от перекрытия окон. Вредоносное ПО может показать фишинговое окно поверх оригинального приложения и украсть пользовательские данные.

  • Логины и пароли хранятся в виде обычного текста, что упрощает злоумышленнику задачу их получения.



Эти уязвимости дают преступнику возможность открыть двери автомобиля, выключить сигнализацию, включить зажигание — в общем, получить если не полный, то весьма значительный контроль над машиной.


Такие атаки требуют предварительной подготовки со стороны злоумышленника: например, он должен обманом заставить владельца машины установить вредоносное ПО, которое получит root-права доступа к устройству, а затем и к приложению для управления автомобилем. Но как показывает опыт «Лаборатории Касперского», для серьезных преступников это не представляет труда, особенно если они знакомы с техниками социальной инженерии.


«Главный вывод нашего исследования — автомобильные приложения в их нынешнем состоянии совершенно беззащитны перед атаками. Мы полагаем, что тут автопроизводителям пригодится опыт банков. Первые банковские приложения страдали от тех же проблем, что перечислены в отчете. Но многочисленные атаки вынудили разработчиков серьезно поработать над безопасностью, — комментирует Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского». — Автомобилям пока везет: мы еще не зафиксировали ни одного случая атаки на их приложения. У автопроизводителей есть время, чтобы все исправить, но неизвестно, как много. Современные троянцы очень гибки: сегодня они могут работать как обычная рекламная программа, а завтра обновиться таким образом, что получат возможность атаковать другие приложения.».


Эксперты «Лаборатории Касперского» рекомендуют владельцам подключенных к Интернету автомобилей принять следующие меры, чтобы защитить свою машину и личные данные от кибератак:


  • Не устанавливайте приложения из непроверенных источников, а лучше отключите эту опцию в устройстве.

  • Если на вашем устройстве включены root-права, удалите их: это открывает почти неограниченные возможности для вредоносного ПО.

  • Регулярно обновляйте операционную систему устройства. Обновления закрывают уязвимости в ПО и снижают риск атак.

  • Установите на устройство проверенное защитное решение.



Узнать больше об угрозах для подключенных к Интернету-автомобилей можно из поста экспертов «Лаборатории Касперского»: https://securelist.ru/analysis/obzor/30188/mobile-apps-and-stealing-a-connected-car.


Источник: Лаборатория Касперского