Самые современные машины, напичканные электромеханикой с возможностью выхода в интернет, уязвимы для хакеров. Такие выводы сделал сенатор Эдвард Дж. Марки (Edward J. Markey) по итогам инициированного им исследования, проведенного в 2014 году. Владельцы машин 17 автоконцернов находятся в опасности. Хакеры могут не только угнать автомобиль и выследить его владельца, но и, получив доступ к важным системам, перехватить контроль за машиной (как легковой, так и грузовой) и создать аварийную ситуацию на дороге вопреки воле водителя.
Недавно Эд Марки представил общественности доклад «Tracking & Hacking: Security & Privacy Gaps Put American Drivers at Risk». По инициативе сенатора 20 мировым автопроизводителям были разосланы анкеты, содержащие как чисто технические вопросы, так и вопросы, затрагивающие соблюдение норм частной жизни владельца:
- сколько автомобилей было выпущено в 2013-2014 гг. с встроенным беспроводным доступом в интернет;
- какие стандарты и протоколы, в том числе для обмена данными между коммуникаторами и медиацентром автомобиля, использованы (в т.ч. Wi-Fi, Bluetooth, интеграции смартфонов и iPad, веб-браузеры, системы OnStar и аналогичные системы сотовой связи и пр.);
- проверялись ли компьютерные системы автомобилей испытаниям на проникновение посторонних лиц;
- установлены ли на машинах системы компьютерной безопасности;
- какие нарушения безопасности уже произошли;
- что сделала компания для устранения выявленных уязвимостей в ПО.
Также сенатор задал несколько вопросов по сбору, хранению и передаче третьим лицам информации, собранной бортовым компьютером, о поведении водителя, истории его перемещений, скорости, пробегу и пр. Ответы на вопросы прислали BMW, Fiat, Chrysler, Ford, General Motors, Honda, Hyundai, Jaguar Land Rover, Mazda, Mercedes-Benz, Mitsubishi, Nissan, Porsche, Subaru, Toyota, Volkswagen и Volvo. Компании Aston Martin, Lamborghini и Tesla отказались предоставить информацию. Из исследования следует, что все производители используют в компьютерных системах автомобилей беспроводные технологии, однако не задумываются о защите данных и систем. Не беспокоят эти проблемы и владельцев машин. Сенатор выявил четыре тенденции в новых автомобильных технологиях:
- почти 100% производителей используют в компьютерных системах автомобилей беспроводные технологии, уязвимые для взлома и нарушения конфиденциальности;
- большинство производителей не в курсе о последних инцидентах со взломом бортовых систем;
- меры безопасности автомобильных компьютерных систем непоследовательны, бессистемны и не стандартизованы, компании применяют различные, несовместимые между собой, технологии;
- только два производителя смогли описать способы диагностики или ответить на вопросы о методах обнаружения проникновения хакеров в системы в реальном времени. Остальные компании полагаются на технологии, которые не могут быть использованы для этих цели вообще.
Часть доклада, посвященная сбору информации о личной жизни и перемещениях водителей не менее печальна, считает сенатор Марки:
- автопроизводители собрали большое количество данных по истории передвижения, навигации, скоростных и прочих характеристиках машин;
- собранная информация передается по беспроводным технологиям в центры обработки данных, в том числе сторонних компаний. В большинстве случаев передаваемые сведения не защищены надлежащим образом;
- производители используют личные данные для «улучшения качества обслуживания клиентов», обычно с привлечением третьих лиц. Нет четкой политики хранения данных – она определяется самим автоконцерном;
- владельцы машин часто не осведомлены о сборе данных, при отключении слежки они могут остаться без ряда полезных функций, таких как навигация.
По итогам исследования и публикации доклада сенатор Марки призвал автопроизводителей разработать единый стандарт безопасности и установить четкие правила конфиденциальности новейших автомобилей, для этого следует привлечь экспертов в области информационной безопасности. В ноябре 2014 года автопроизводители уже договорились о добровольном наборе принципов конфиденциальности в попытке решить некоторые из проблем, связанных с проникновением в частную жизнь владельцев машин.
Концерн BMW уже заявлял о ликвидации уязвимостей в программном обеспечении автомобилей BMW, Mini или Rolls-Royce. Незащищенность обмена данными между коммуникатором и медиацентром в салоне позволяла открыть машину, используя поддельную базовую станцию. Следов взлома при этом не оставалось. На эту проблему BMW указала ассоциация ADAC. Автомобили марки BMW и ряд других машин премиум класса, в том числе Opel, Renault, Mercedes, Volkswagen, Toyota и Porsche Cayenne, можно угнать с использованием специального набора, разработанного хакерами, стоимостью в $30, сообщает The Register. Инструмент позволяет перепрограммировать болванку ключа, а сам угон может состояться менее чем за 2-3 минуты, сообщал SecurityLab. По словам представителей BMW, инструмент можно использовать исключительно на «устаревших» моделях – выпущенных до 2011 года.
Глава МВД Великобритании Тереза Мей высказала мнение о необходимости сотрудничества автопроизводителей с правоохранительными органами для предотвращения высокотехнологичных угонов дорогих автомобилей. По последним данным полиции Лондона, более трети всех угонов в столице Великобритании происходит с помощью перепрограммирования ключа зажигания, после чего преступникам требуется максимум 10 секунд на кражу. Полиция располагает данными о том, что угонщики используют вредоносное ПО ради получения контроля над спутниками. Это дает им возможность послать с орбиты сигнал разблокировать двери, отключить сигнализацию и запустить двигатель нужного автомобиля.
На конференции «белых» хакеров SyScan 360, прошедшей в Пекине летом 2014 года, команде экспертов из Чжэцзянского университета (Китай) удалось получить контроль над системой автомобиля Tesla Model S. Эксплуатируя уязвимость в системе, они смогли управлять дверными замками электромобиля, клаксоном, люком, фарами и стеклоочистителями. Ранее исследователи сообщали о возможности угона Tesla Model S, похитив пароль владельца, пишет SecurityLab.
Специалистам IOActive Чарли Миллеру (Charlie Miller) и Крису Валашеку (Chris Valasek) удалось взломать электронный блок управления машины, получив к ней физический доступ. Более того, во время хакерской конференции Def Con, прошедшей в августе 2014 года в Лас-Вегасе, исследователи представили собственный набор программ для совершения удаленных атак на уязвимые автомобили. С его помощью удалось найти и проэксплуатировать разнообразные бреши в 21 машине, привезенной на конференцию. Наиболее уязвимой моделью оказался Jeep Cherokee 2014 года, сообщал SecurityLab.
