В современном мире автомобили, подключённые к интернету, становятся не только удобнее, но и уязвимее. Недавний доклад специалиста по кибербезопасности Итана Звеара на конференции DEF CON показал, что системы автодилеров могут содержать опасные дыры. Оказалось, что через онлайн-портал дилерской сети можно получить права администратора и фактически контролировать множество функций автомобиля — от запуска двигателя до его остановки. Причём для этого достаточно воспользоваться уязвимостью в системе регистрации, чтобы получить доступ национального администратора.
Хотя Звеар не раскрывает, о каком именно автопроизводителе идёт речь, он подчёркивает: проблема не единична, а характерна для всей отрасли. После обнаружения уязвимости дилерский центр устранил её, но сам факт её существования говорит о слабой защищённости подобных систем. Эксперт смог не только управлять функциями машины, но и находить автомобили по VIN-номеру или адресу, а также связывать их с мобильными приложениями владельцев. Для демонстрации он даже перевёл автомобиль своего знакомого в свою учётную запись.
Звеар не стал проверять, можно ли полностью угнать машину дистанционно, но отмечает, что полученных прав было бы достаточно для серьёзного вреда. Кроме того, в его распоряжении оказались личные данные владельцев и информация об автомобилях. Несмотря на то, что уязвимость была закрыта, остаётся вопрос: насколько надёжны остальные подобные системы?
Исследование показало, что дилерские порталы часто строятся на устаревших технологиях, а их защита легко обходится с помощью манипуляций со скриптами и API. В результате, злоумышленник может получить доступ к сотням дилерских центров, а значит — и к тысячам автомобилей. Всё это заставляет задуматься: готовы ли мы доверять свои машины, а вместе с ними и личную безопасность, цифровым системам, которые могут быть взломаны буквально одним кликом?
