Milijonai automobilių yra nesaugūs: į juos galima ne tik įsibrauti, bet ir pavogti jų savininkų duomenis

Žinomų gamintojų automobiliuose nustatytos rimtos saugumo problemos

Beveik dvidešimties automobilių gamintojų ir transporto paslaugų teikėjų kibernetinio saugumo spragos aplikacijų programavimo sąsajose (API) galėjo leisti įsilaužėliams vykdyti kenkėjišką veiklą. Tai reiškia, kad nusikaltėliai galėjo vykdyti viską nuo automobilių atrakinimo, užvedimo ir lokacijos sekimo iki klientų asmeninės informacijos atskleidimo. Ir visa tai galėjo daryti nepastebėti^[1].

Saugumo spragos turėjo įtakos gerai žinomiems prekių ženklams, įskaitant „BMW“, „Rolls-Royce“, „Mercedes-Benz“, „Ferrari“, „Ford“, „Kia“, „Honda“, „Nissan“, „Toyota“. Pažeidžiamumai taip pat paveikė transporto priemonių technologijų prekės ženklus „Spireon“, „Reviver“, „SiriusXM Connected Vehicle Services“.

Šias API spragas aptiko tyrėjų komanda, vadovaujama Semo Curry, kuris 2022 m. lapkritį atskleidė „Honda“, „Hyundai“, „Acura“, „Infinity“, „SiriusXM“, „Nissan“ saugumo problemas. Ankstesniame S. Curry atskleistame pranešime buvo paaiškinta, kaip įsilaužėliai galėtų pasinaudoti šiomis spragomis, kad atrakintų ir užvestų automobilius, tačiau dabar, praėjus keliems mėnesiams po pažeidžiamumo atskleidimo, komanda paskelbė išsamesnį tinklaraščio įrašą apie rastas API spragas^[2].

Automobilių gamintojai su saugumo ekspertų pagalba jau ištaisė visas problemas, kurias pastebėjo ir nurodė ekspertai, todėl dabar esą grėsmės nebėra. Saugumas atstatytas, bet nėra aišku, kiek giliai kibernetiniai nusikaltėliai sugebėjo patekti į sistemas ir kokie duomenys galėjo nutekėti į netinkamas rankas.

Prieiga prie vidinių sistemų ir asmeninių duomenų

Rimčiausios API spragos buvo aptiktos „BMW“ ir „Mercedes-Benz“ bendrovėse, kurioms įtakos turėjo visoje bendrovėje esančios SSO (single-sign-on) spragos^[3], dėl kurių įsilaužėliai galėjo prisijungti prie vidaus sistemų. Taip visi duomenys buvo tapę prieinami ir galėjo būti pasisavinti.

Bendrovės „Mercedes-Benz“ atveju analitikai galėjo pasiekti daugybę privačių GitHub įrašų, vidinius pokalbių kanalus serveriuose, kitas saugyklas ir sistemas, kurios jungiasi prie klientų automobilių, ir kt. Analizuojant problemas su „BMW“ sistemomis, tyrėjai galėjo prisijungti prie vidinių pardavėjų portalų, užklausti bet kurio automobilio VIN kodo ir gauti pardavimo dokumentus, kuriuose yra slaptos asmeninės savininko informacijos.

Pasak analizės, kenkėjų kūrėjai ir nusikaltėliai galėjo pasinaudoti SSO trūkumais ir prisijungti kaip bet kuris darbuotojas ar pardavėjas bei naudotis vidaus naudojimui ir tik konkretiems darbuotojams skirtomis programomis. Taip buvo pasiekta, kad savininko duomenų atskleidimas būtų lengvai įmanomas neautorizuotiems vartotojams.

Išnaudodami kitas API spragas tyrėjai galėjo pasiekti pagrindinių gamintojų automobilių savininkų PII- asmeninę identifikuojančią informacija. Itin brangių automobilių atveju atskleisti savininko informaciją yra ypač pavojinga, nes kai kuriais atvejais duomenys apima pardavimo informaciją, fizinę buvimo vietą ir klientų adresus.

„Ferrari“ nukentėjo dėl prastai įdiegto SSO savo TVS, nes buvo atskleisti galiniai API maršrutai ir buvo galima išgauti įgaliojimus iš programinių fragmentų. Užpuolikas, pasinaudojęs šiomis klaidomis, galėjo pasiekti, keisti arba ištrinti bet kurią automobilių bendrovės kliento paskyrą, tvarkyti jo transporto priemonės profilį arba nustatyti save kaip automobilio savininką.

Transporto priemonės GPS sekimo valdymas sukelia dar daugiau problemų

Dėl šių pažeidžiamumų sistemose įsilaužėliai taip pat galėjo stebėti automobilius realiuoju laiku, taip sukeldami galimą pavojų ir darydami poveikį milijonų automobilių savininkų privatumui. Kadangi tarp paveiktų gamintojų yra įtakingų ir turtingų asmenų mėgstami prabangūs automobiliai, tai sukelia fizinių nusikaltimų riziką.

Vienas iš paveiktų prekės ženklų buvo „Porsche“, kurio telematinių sistemų spragos leido įsilaužėliams nustatyti automobilio buvimo vietą ir siųsti komandas į transporto priemones.

GPS sekimo sprendimas „Spireon“ taip pat buvo pažeidžiamas atskleidžiant automobilių buvimo vietą, o tai turėjo įtakos 15,5 milijonų asmenų ir paslaugomis besinaudojančių transporto priemonių. Tokia pažeidžiama sistemos dalis netgi leido gauti visišką administravimo prieigą prie nuotolinio valdymo skydelio, todėl įsilaužėliai galėjo atrakinti automobilius, užvesti variklį arba jį staigiai sustabdyti išjungiant starterį^[4].

Automobilių savininkai gali apsisaugoti nuo tokio tipo pažeidžiamumų apribodami transporto priemonėse ar mobiliosiose programėlėse saugomos asmeninės informacijos kiekį. Taip pat būtina nustatyti automobilyje esančios telematikos sistemos privatų režimą ir perskaityti privatumo politiką, kad suprastumėte, kaip naudojami duomenys, kuriuos atskleidžiate.

Pirkdami naudotą automobilį įsitikinkite, kad ankstesnio savininko paskyra buvo pašalinta. Naudokite stiprius slaptažodžius ir, jei įmanoma, nustatykite dviejų veiksnių autentifikavimą programėlėms ir paslaugoms, kurios susijusios su jūsų automobiliu.