Hardware

Povezivanje automobila nosi rizike po bezbednost i privatnost vlasnika

Privatnost, ažuriranje softvera i mobilne aplikacije namenjene povezanim automobilima su tri oblasti u kojima su potencijalno mogući napadi sajber-kriminalaca

Kaspersky Lab i IAB, vodeća kompanija za marketing i digitalne medije u Španiji, objavljuju početak pionirskog istraživanja i pokretanje Prve godišnje studije o povezanim automobilima..

Glavni cilj ove studije je da pruži pregled tržišta povezanih automobila kombinovanjem svih raspoloživih informacija kako bi odgovorila na neka goruća pitanja i kako bi na neki način ujedinila izuzetno izdeljen softverski ekosistem koji proizvođači trenutno nude. Visente Dias (Vicente Diaz), glavni istraživač bezbednosti u Kapersky Lab, bio je odgovoran za razvijanje dokaza koncepta za analizu bezbednosnih posledica povezivanja ovih automobila na internet.

Vozači više ne mogu da ignorišu pitanje bezbednosti komunikacija i internet usluga uključenih u novu generaciju „povezanih automobila“. Ovo je mnogo više od pomoći da bezbedno parkirate auto; to sada obuhvata pristup društvenim mrežama, elektronskoj pošti, povezivanje sa pametnim telefonima, izračunavanje rute, automobilske aplikacije itd. Ove tehnologije nude velike pogodnosti vozačima, ali takođe sa sobom nose nove rizike za današnje korisnike. Zbog toga je neophodno analizirati različite rizike koji bi mogli dovesti do sajber-napada, nesreća ili čak lažnog održavanja automobila.

elektroautomobil

Privatnost, ažuriranja i aplikacije za pametne telefone namenjene ovim automobilima mogu biti pretvoreni u tri odvojena vektora napada za sajber-kriminalce. „Povezani automobili mogu otvoriti vrata pretnjama koje već odavno postoje u svetu personalnih računara i pametnih telefona. Na primer, vlasnici povezanih automobila bi mogli da dođu u situaciju da im šifre budu ukradene. Ovo bi otkrilo lokaciju vozila i omogućilo da se vrata otključaju daljinski. Problemi privatnosti su od izuzetne važnosti i današnji vozači moraju biti svesni novih rizika koji jednostavno ranije nisu postojali“, rekao je Dias.

google automobil

Kompanije Kaspersky Lab, analizirala je BMW-ov ConnectedDrive sistem i otkrila nekoliko potencijalnih vektora napada:

Krađa podataka: Krađa podataka neophodnih za pristup BMW-ovom sajtu – korišćenje poznateih metoda kao što su fišing (phishing), keyloggers ili društveni inženjering – moglo bi imati za posledicu neovlašćen pristup treće strane informacijama o korisniku ili samom vozilu. Odatle, moguće je instalirati mobilnu aplikaciju sa istim podacima i potencijalno omogućiti daljinske usluge pre nego što se automobil otvori i odveze.

Mobilna aplikacija: Ukoliko aktivirate mobilne usluge za daljinsko otvaranje, vi zapravo pravite novi set ključeva za vaš automobil. Ako aplikacija nije obezbeđena, svako ko ukrade telefon mogao bi da ima pristup vozilu. Sa ukradenim telefonom bilo bi moguće promeniti aplikacije za bazu podataka i premostiti bilo koju autorizaciju PIN-a, olakšavajući sajber-napadaču da aktivira daljinske usluge.

Ažuriranja: Bluetooth drajveri se ažuriraju skidanjem fajla sa BMW vebsajta i njegovom instalacijom na USB. Ovaj fajl nije kodiran ili potpisan, i sadrži puno informacija o unutrašnjim sistemima pokrenutim na vozilu. Ovo bi moglo potencijalnom napadaču da pruži pristup ciljanom okruženju, a takođe bi mogao biti izmenjen da pokrene virusni kod.

Komunikacije: Neke funkcije komuniciraju sa SIM karticom unutar vozila putem SMS-a. Provaljivanje u ovaj komunikacioni kanal omogućava slanje „lažnih“ instrukcija, u zavisnosti od nivoa enkripcije kod operatera. U najgorem slučaju, kriminalac bi mogao da zameni BMW-ove komunikacije svojim instrukcijama i uslugama.

Studija takođe razmatra onlajn povezivanje i vodeće aplikacije u španskoj automobilskoj industriji, kao i istraživanje poslovnih modela i budućih trendova u platformama za povezivanje na tržištu. Izveštaj analizira 21 različit model vozila, i njegovi glavni zaključci su:

• Operativni sistem, načini povezivanja i aplikacije su visoko fragmentisani.
• Besplatne usluge su vremenski ograničene: većina proizvođača nudi besplatnu pretplatu samo na određeno vreme.
• Problemi pokrivenosti mreže: mnogi onlajn servisi zahtevaju 3G konekciju.
• Korišćenje podataka: neki korisnici bi morali da plate za dodatne podatke.
• Glasovni asistenti: većina modela ih koristi, budući da je to jedan od najsigurnijih načina za kontrolu povezivanja.

Istraživanje su sproveli IAB Španija sa sajtovima Applicantes, Motor.com i Kaspersky Lab.

Leave a Reply