Ранее нераскрытая ошибка безопасности имела отношение к ряду крупных автомобильных брендов. Недочёт в системе позволял хакерам угонять транспорт и похищать данные пользователей, сообщил сайт Gizmodo.
Суть уязвимости
Ошибка была в телематической (то есть сочетающей телекоммуникации и информатику) инфраструктуре автомобиля. Уязвимость позволила бы хакеру удалённо определить местонахождение автомобиля, разблокировать и запустить его, включить фары, посигналить, открыть багажник и получить доступ к конфиденциальной информации о клиентах: имя владельца, номер телефона, адрес, подробности об авто.
Один из исследователей, 22-летний Сэм Карри, сказал, что ему и его друзьям было любопытно, какие проблемы могут возникнуть, если они проверят поставщиков так называемых «телематических услуг» для автопроизводителей.
Что нужно знать о телематике
Большинство современных автомобилей — это, по сути, подключённые к интернету компьютеры на колёсах. Поступление и отправка данных об авто — так называемая телематика — делает машины более удобными и настраиваемыми. Но телематика также делает их более уязвимыми для кибератак и удалённого угона.
Индустрия телематики также представляет угрозу для конфиденциальности. Потому что производители автомобилей могут передавать данные о транспортных средствах поставщикам систем видеонаблюдения.
Как они это делают
Покопавшись в коде, Карри и его коллеги обнаружили лазейку для аутентификации в инфраструктуре, предоставляемой радиогигантом Sirius XM. Возможности Sirius встроены в информационно-развлекательные системы (infotainment system) большинства автомобилей. Ведь Sirius XM Holdings Inc. предоставляет телематические услуги нескольким автопроизводителям.
Как объяснил Карри, большинство автомобилей имеют систему SiriusXM «в комплекте» с информационно-развлекательной системой. А это — возможность подключаться через спутник к интернету. И эти данные могут быть похищены при определённых обстоятельствах.
Это как если бы у вас был сотовый телефон, подключённый к вашему автомобилю. И вы могли бы получать и отправлять текстовые сообщения, сообщая ему, что делать. Или передавать информацию о состоянии автомобиля
— Сэм Карри, специалист по кибербезопасности.
Проблему признали
Сайт Gizmodo обратился за комментарием в компанию Sirius XM. Там признали проблему и предоставили комментарий.
Исследователь безопасности отправил в службы подключённых к Sirius XM транспортных средств отчёт об ошибке авторизации. Ошибка влияет на конкретную телематическую программу. Проблема была решена в течение 24 часов после отправки отчёта. Ни один абонент или его данные не были скомпрометированы, и ни одна учётная запись не была изменена с использованием этого метода
— Sirius XM.
