Zdalne hakowanie samochodów. Oszustom wystarczy jedna informacja

Eksperci ds. bezpieczeństwa ostrzegają, że aplikacja mobilna w samochodzie może być furtką dla hakerów. Sam Curry, niezależny badacz, znalazł luki w oprogramowaniu wykorzystywanym przez kilku producentów samochodów.

Sam Curry zademonstrował, w jaki sposób cyberprzestępcy przejmują kontrolę nad pojazdami i zdalnie je odblokowują lub blokują, włączając lub wyłączając silnik bądź używać klaksonu. W serii tweetów zademonstrował, w jaki sposób wykorzystał luki w aplikacji Hyundai i interfejsie API, aby ominąć kontrolę autoryzacji. Znając tylko adres e-mail jego właściciela, udało mu się przejąć jego konto. Później okazało się, że na to samo ryzyko są narażeni użytkownicy samochodów Genesis.

Niezależny badacz – zachęcony wcześniejszymi odkryciami – zaczął analizować luki w zabezpieczeniach dotyczące innych producentów – szczególnie korzystających z platformy telematycznej SiriusXM Connected Vehicle Services. Okazało się, że posługując się używaną wcześniej techniką, można było zdalnie zatrzymywać lub uruchamiać auta, migać reflektorami lub trąbić klaksonem, a także wydobyć bez upoważnienia dane osobowe właściciela (nazwisko, numer telefonu, adres i informacje o samochodzie).

Dalsza część artykułu pod materiałem wideo

Wywołania API dla usług telematycznych działały, nawet jeśli użytkownik nie miał już aktywnej subskrypcji SiriusXM. Sam Curry zauważył, że może dowolnie rejestrować lub wyrejestrowywać właścicieli pojazdów z usługi. Wystarczyło, że znał adres e-mail właściciela pojazdu lub jego numer VIN.

Warto podkreślić, że Sam Curry poinformował producentów o lukach w zabezpieczeniach przed upublicznieniem informacji. Natomiast rzecznik Hyundaia zapewnił, że nie odnotowano żadnych przypadków włamań, poza tymi ujawnionymi przez badaczy bezpieczeństwa.