Группа исследователей безопасности обнаружила серьезную уязвимость в веб-портале, принадлежащем южнокорейскому автопроизводителю Kia, которая позволяла удаленно взламывать автомобили и следить за их владельцами. При этом, по сути, для взлома достаточно было всего лишь знать автомобильный номер потенциальной жертвы. Рассказываем подробнее об этой уязвимости.
Слишком подключенные автомобили
Не все об этом задумываются, но автомобили за последние пару десятилетий превратили в очень большие компьютеры на колесах. Даже не самые «умные» из них под завязку напичканы всевозможной электроникой и оборудованы целой кучей датчиков — от сонаров и видеокамер до датчиков движения и GPS.
В последние же годы автомобили — это чаще всего не просто компьютеры, но компьютеры, постоянно подключенные к Интернету, со всеми вытекающими последствиями. Не так давно мы уже писали о том, как современные автомобили собирают массу данных о своих владельцах и передают их автопроизводителям. А также о том, как автоконцерны продают собранные данные другим компаниям, в частности страховщикам.
Но у этой проблемы есть также и другая сторона. Постоянное подключение автомобиля к Интернету означает, что при наличии уязвимостей — как в самом автомобиле, так и в облачной системе, с которой он коммуницирует — кто-нибудь может ими воспользоваться для взлома и слежки за владельцем авто без ведома автопроизводителя.
Достаточно всего одной уязвимости
Собственно, это и произошло в данном случае. Исследователи обнаружили уязвимость в веб-портале Kia, предназначенном для клиентов и автодилеров. Оказалось, что при использовании API портал позволял любому желающему с помощью некоторых не слишком сложных манипуляций зарегистрироваться в качестве автодилера.
Таким образом атакующему становились доступны такие функции, которые по-хорошему и автодилерам иметь не стоило бы — по крайней мере после того, как автомобиль был передан покупателю. В частности, портал позволяет найти любой автомобиль Kia и данные его владельца (имя, фамилию, номер телефона, адрес электронной почты и даже физический адрес), зная всего лишь его VIN-номер.
При этом следует иметь в виду, что VIN не является такой уж секретной информацией, а в некоторых странах и вовсе относится к публично доступным данным. Например, в США есть множество интернет-сервисов, которые позволяют узнать VIN по номеру авто.
После успешного поиска данные владельца автомобиля можно было использовать для того, чтобы зарегистрировать доступ к нему для нового пользователя — то есть для произвольного аккаунта в системе Kia, контролируемого атакующим. Ну а далее атакующий получал доступ к различным функциям, обычно доступным настоящему владельцу автомобиля через мобильное приложение.
Отдельно интересно, что все описанные функции доступны не только дилеру, который непосредственно занимался продажей данного автомобиля, а любому дилеру, зарегистрированному в системе Kia.
Вскрыть автомобиль за несколько секунд
В итоге исследователи создали экспериментальное приложение, которое позволяло за несколько секунд получить контроль над любым автомобилем Kia, просто введя в поля ввода его регистрационный номер. Приложение автоматически искало VIN авто в соответствующем сервисе и использовало его для регистрации автомобиля на принадлежащий исследователям аккаунт.
После этого в приложении можно было простым нажатием кнопки получить текущие координаты автомобиля, открыть или закрыть двери, запустить или остановить двигатель или посигналить гудком.
Отметим, что этих функций в большинстве случаев было бы недостаточно для того, чтобы угнать автомобиль. Как правило, современные модели оснащены иммобилайзерами, для отключения которых необходимо наличие физического ключа. Есть некоторые исключения, но обычно для максимально дешевых машин, которые едва ли представляют серьезный интерес для угонщиков.
Тем не менее данную уязвимость вполне можно было бы использовать для того, чтобы следить за владельцем автомобиля, незаметно украсть какие-нибудь ценные вещи, оставленные в салоне или багажнике (или, наоборот, что-нибудь подбросить), а также просто для того, чтобы испортить водителю жизнь внезапными действиями автомобиля.
Исследователи ответственно подошли к раскрытию информации об уязвимости: они сообщили автопроизводителю о найденной проблеме и опубликовали свою работу только после того, как в Kia устранили баг. Тем не менее, как замечают авторы исследования, они уже обнаруживали подобные уязвимости и не сомневаются в том, что продолжат находить их и в будущем.
Как защитить автомобиль
Кстати, в сентябре «Лаборатория Касперского», разработчики отечественного электромобиля «Атом» и российский производитель компьютерного оборудования Kraftway объявили о стратегическом партнерстве в сфере обеспечения информационной безопасности автомобиля.
В рамках этого анонса мы представили прототип шлюза безопасности, который будет интегрирован в «Атом». Это электронный блок управления автомобилем, созданный на базе решения Kaspersky Automotive Secure Gateway.
Шлюз безопасности — это устройство, которое обеспечивает защиту и контроль передачи данных между внутренними и внешними сетями автомобиля. То есть это своего рода специализированный файрвол для авто, который фильтрует входящий и исходящий трафик, а также блокирует попытки несанкционированного доступа к критическим системам и функциям.
Так что скоро в списке ваших устройств, защищенных Kaspersky, будут не только компьютеры, ноутбуки и смартфоны, но и… Аааавтомобиль!