2023/04/26 23:15:14

Кибератаки на автомобили

Содержание

2023
2022
2021
2020: Безопасность данных: в чьих руках ключи?
Смотрите также
Примечания

Основные статьи:

2023

В США появился новый метод угона автомобилей с помощью телефонов Nokia

23 апреля 2023 года стало известно о том, что в США появился распространенный вид угона автомобилей, в ходе которого преступники используют телефоны NOKIA 3310, для взаимодействия с системой управления транспортным средством.

Данный метод угона позволяет вору даже без технического опыта угонять автомобили без ключа за 10-15 секунд. Благодаря устройствам, которые можно купить в интернете за несколько тысяч долларов, барьер входа для угона даже дорогих роскошных автомобилей резко снижается.

По сути, устройство делает всю работу за угонщика. Все, что вору нужно сделать, это взломать переднюю фару и вырвать проводку автомобиля. После этого угонщик может подключить устройство к CAN-шине и отправлять сообщения, дающие команду внутренним системам автомобиля снять все блокировки,

рассказал Кен Тинделл, технический директор компании Canis Labs, занимающейся кибербезопасностью автомобилей.

Такой способ угона распространяется на автомобили Toyota, Maserati, Land Cruiser и Lexus. В интернете и в различных Telegram-каналах эта технология продаётся по цене от $2 700 до $19 600. Несмотря на свои высокие цены, некоторые модифицированные телефоны NOKIA 3310 содержат компоненты всего на $10 – микросхема с оборудованием и прошивкой CAN, а также другая микросхема, связанная с CAN.

Иллюстрация:securitylab.ru

Исследователи назвали атаку CAN Injection (Controller Area Network, CAN). При атаке с использованием CAN-инъекции воры имеют возможность направлять в систему автомобиля поддельные сообщения, как если бы они поступали от приемника смарт-ключа. Эти сообщения позволяют разблокировать транспортное средство и отключить иммобилайзер (противоугонную систему) двигателя, позволяя по итогу угнать автомобиль.

После того, как производитель устройства реконструировал обмен сообщениями конкретного автомобиля, создание каждого устройства заняло бы всего несколько минут. Вся работа состоит в том, чтобы припаять несколько проводов.Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 298.7 т

По словам исследователей, единственным правильным решением было бы ввести криптографическую защиту для сообщений CAN. Это можно сделать с помощью обновления ПО.

Программное обеспечение простое, и единственная сложная часть — внедрение инфраструктуры управления криптографическими ключами. Но поскольку автомобильные платформы уже используют криптографические решения, эта инфраструктура либо уже существует, либо ее все равно нужно построить,

отметили эксперты.

Как сообщил Кен Тинделл, проблема активно обсуждается с различными автопроизводителями, и есть все шансы, что в последующих поколениях известных брендов доступ к CAN-шине будет реализован другим образом, или будут введены дополнительные системы защиты, что снизит вероятность угона автомобиля этим методом.

Ранее в этом месяце Кен Тинделл также описал способ угона автомобилей с помощью Bluetooth-колонки JBL , основанный на прямом доступе к системной шине через проводку фары. Самое страшное, что этому методу подвержены автомобили многих брендов, так как практически во всех моделях проводка организована схожим образом. Первым, кто забил тревогу, стал Йен Табор, исследователь кибербезопасности и консультант по автомобильной технике EDAG. Его Toyota RAV4 готовили к угону на протяжении нескольких дней, понемногу взламывая внешние электронные компоненты^[1].

Эксперт кибербезопасности за одну неделю обнаружил 4 критических уязвимости в системах Toyota

Эксперт кибербезопасности из США Итон Звеаре за одну неделю обнаружил 4 критических уязвимости в системах Toyota. Об этом стало известно 8 февраля 2023 года. Специалисту удалось взломать глобальную систему управления информацией о поставщиках Toyota (G-SPIMS). Подробнее здесь.

Уязвимости в системах BMW, Mercedes и Ferrari позволяют удаленно управлять автомобилем

Уязвимости в системах BMW Group, Mercedes и Ferrari позволяют удаленно управлять автомобилем. Об этом стало известно 9 января 2023 года.

Ошибки затрагивают Mercedes-Benz, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar и Land Rover, а также компанию по управлению автопарком Spireon.

Компании Spireon принадлежат несколько брендов GPS-отслеживания транспортных средств и управления автопарком, охватывающих на январь 2023 года 15 млн. подключенных автомобилей. Самые опасные ошибки содержались в системах Spireon и включали в себя:

несколько уязвимостей, позволяющих внедрять SQL-инъекции;
RCE-уязвимости обхода аутентификации, которые позволяли полностью контролировать любое транспортное средство.

По словам аналитиков, с помощью этих недостатков можно было получить полный доступ к панели администрирования всей компании Spireon, а затем отправлять произвольные команды всем 15 млн. автомобилям – открывать двери, активировать гудок, запускать двигатель и отключать стартеры.

Опасность заключается в том, что злоумышленник мог отслеживать и отключать стартеры автомобилей экстренных служб, полиции, скорой помощи и правоохранительных органов в крупных городах.

В системах Ferrari были обнаружены элементы управления доступом, которые открыли доступ к JavaScript-коду для нескольких внутренних приложений. Код содержал API-ключи и учетные данные, которые могли позволить злоумышленнику захватить (или удалить) их учетные записи. Кроме того, с помощью POST-запроса можно было установить права суперпользователя или стать владельцем Ferrari.

Отсутствие контроля доступа также могло позволить киберпреступнику создавать и удалять учетные записи администраторов бэк-офиса сотрудников, а затем изменять веб-сайты, принадлежащие Ferrari, включая ее CMS-систему.

Неправильно настроенная система единого входа (Single sign-on, SSO) для всех сотрудников и клиентов BMW и Rolls-Royce позволяла хакеру получить доступ к внутреннему дилерскому порталу, запросить VIN-номер и получить все документы о продаже автомобиля.

Используя неправильно настроенную SSO-систему в Mercedes-Benz можно было создать учетную запись пользователя на сайте для автосервисов и запрашивать инструменты и запчасти.

Эксперты также использовали эту учетную запись для входа в Github Mercedes-Benz, где хранилась внутренняя документация и исходный код для различных проектов компании, включая приложение Me Connect, используемое клиентами для удаленного подключения к своим автомобилям.

Также специалистам удалось проникнуть в канал связи Slack и выдать себя за сотрудника компании, который с помощью социальной инженерии мог повысить свои привилегии в инфраструктуре Mercedes-Benz.

Уязвимости в системах Porsche и Toyota позволяли:

удаленно определять местоположение и отправлять команды автомобилям Porsche;
узнать имя,номер телефона, адрес электронной почты и статус кредита клиентов Toyota Motor Credit.

Недостатки обнаружил исследователь кибербезопасности Сэм Карри из Yuga Labs и сообщил о них автопроизводителям. На 9 января 2023 года все недостатки исправлены^[2].

2022

В российском даркнете начали предлагать услуги по удаленному взлому автомобилей

В декабре 2022 года стало известно о том, что хакеры в даркнете стали предлагать жителям России удаленный взлом «умных» автомобилей. В связи с этим ожидается рост числа угонов машин.

Как сообщает «РИА Новости» со ссылкой на данные НТИ «Автонет», стоимость «услуги» лежит в диапазоне от 45 тысяч до 100 тысяч рублей в зависимости от региона. Появление невиданных ранее предложений эксперты связывают с дефицитом запасных частей и предполагают, что целевой аудиторией являются не простые угонщики, а гаражные автосервисы.

Хакеры в даркнете стали предлагать жителям России удаленный взлом «умных» автомобилей

Новый способ взлома автомобилей активно набирает обороты в теневом сегменте интернета, отмечают в НТИ «Автонет». Хакеры предлагают удаленный взлом самой машины, кражу данных бортового компьютера и съем механических деталей.

В декабре 2022 года специалисты обнаружили в «темном» интернете 12 подобных объявлений, в то время как раньше их наличие не фиксировалось. В зоне риска — как обычные автомобили, так и машины каршеринговых сервисов. По всей вероятности, задачи по удаленному взлому хакерам могут ставить неофициальные автосервисы, которые столкнулись с нехваткой деталей для ремонта: в итоге им приходится использовать краденные запчасти.

Если автомобиль будет взломан таким способом, это не гарантирует кражи, отмечают эксперты. Однако в дороге может возникнуть опасная неисправность — к примеру, отказ тормозов или потеря управления.

По прогнозам НТИ «Автонет», в 2023 году число краж и взломов автомобилей в России будет расти. Причины — в недоступности новых автомобилей и дефиците комплектующих.

При этом в 2022 году число автоугонов сократилось на 7% по сравнению с прошлым годом. В фаворитах угонщиков по-прежнему числятся корейские машины: первое место занимает Hyundai Santa Fe, второе — Kia Sportage.^[3]

Дыра в мобильном приложении Hyundai позволила автоугонщикам легко завладевать машинами

В начале декабря 2022 года стало известно о том, что один и тот же баг в штатной работе мобильных приложениий MyHyundai и MyGenesis позволил хакерам удалённо разблокировать и заводить автомобили Hyundai и Genesis, а также ещё несколько марок машин. Подробнее здесь.

«Лаборатория Касперского» предупредила о рисках использования сторонних приложений для авто

Специалисты «Лаборатории Касперского» проанализировали 69 сторонних мобильных приложений для подключённых автомобилей и определили основные угрозы, с которыми могут столкнуться водители при их использовании. Об этом стало известно 25 мая 2022 года. Эксперты обнаружили, что более половины (58%) таких программ, запрашивая учётные данные автовладельцев, не предупреждают о возможных угрозах конфиденциальности. В пятёрку автомобильных марок, управление которыми чаще всего предлагают сторонние приложения, входят Tesla, Nissan, Renault, Ford и Volkswagen.

Мобильные приложения для подключённых автомобилей позволяют водителям удалённо управлять средством передвижения, например дистанционно запускать двигатель, запирать или отпирать двери, обогревать салон. У большинства автомобильных брендов есть собственные приложения, но сторонние имеют свои плюсы для водителей, так как предлагают дополнительные функции.

Чтобы обезопасить данные, некоторые разработчики сторонних приложений предлагают использовать особенный программный ключ (токен), используемый для авторизации вместо имени пользователя и пароля. Однако, если такой токен окажется скомпрометирован, злоумышленники смогут получить доступ к автомобилю пользователя точно так же, как если бы они использовали обычные учётные данные. Таким образом, токены авторизации не обеспечивают полной безопасности, а автовладелец рискует потерять контроль над своей машиной. При этом только 19% разработчиков говорят о рисках открыто, не пытаясь завуалировать информацию с помощью мелкого шрифта.

Также в «Лаборатории Касперского» обнаружили, что в каждом седьмом (14%) приложении нет информации о том, как связаться с разработчиками или оставить отзыв. Это исключает возможность сообщить о проблеме или запросить дополнительную информацию. Отсутствие контактных данных может быть связано с тем, что часто подобные приложения разрабатывают энтузиасты, которые, в отличие от официальных производителей автомобилей, не обязаны заботиться о сохранности данных своих пользователей.

Эксперты «Лаборатории Касперского» отмечают, что 46 из 69 приложений либо являются бесплатными, либо предлагают попробовать деморежим. Этот факт в сочетании с количеством скачиваний — только из Google Play к маю 2022 года их скачали более 230 тысяч раз — даёт представление о том, сколько автовладельцев потенциально могли открыть для злоумышленников возможность доступа к своим автомобилям.

Подключённые автомобили обладают множеством плюсов, однако с их использованием связаны и определённые риски. Пользователям сторонних приложений для управления автомобилем стоит знать о потенциальных угрозах. К сожалению, не все разработчики ответственно подходят к хранению, сбору и защите персональных данных, в результате чего те могут оказаться в руках злоумышленников. При худшем сценарии это может нести опасность для жизни человека. Мы призываем разработчиков приложений включить защиту пользовательских данных в список своих приоритетов и принять меры предосторожности, чтобы не подвергать риску своих клиентов и самих себя,

прокомментировал Сергей Зорин, глава департамента транспортных систем в «Лаборатории Касперского».

2021

Panasonic разработал систему киберзащиты для подключаемых к Интернету автомобилей

Японская корпорация Panasonic намерена представить систему безопасности, предотвращающую кибератаки и захват управления над подключаемыми автомобилями. Решение приобретает особую актуальность в связи с массовым распространением подключаемых к Интернету и автопилотируемых транспортных средств и их уязвимостью для хакеров. Об этом стало известно 24 ноября 2021 года. Подробнее здесь.

QRate и "Университет Иннополис" защитили беспилотный автомобиль с помощью квантовой криптографии

12 мая 2021 года стало известно о том, что научно-производственная компания QRate и Университет Иннополис реализовали проект защиты систем автономного управления беспилотного автомобиля с помощью технологий квантовых коммуникаций. Подробнее здесь.

Автомобили с выходом в интернет уязвимы перед кибератаками

25 февраля 2021 года компания Trend Micro Incorporated, представитель в области кибербезопасности, сообщила результаты очередного крупного исследования безопасности подключённых автомобилей — технологии, которая является частью интернета вещей. В исследовании Cyber Security Risks of Connected Cars («Риски кибербезопасности для подключённых автомобилей») описано несколько сценариев, в которых водители могут столкнуться с атаками, угрожающими их безопасности и безопасности окружающих.

Чтобы оценить риски кибербезопасности исследователи Trend Micro изучили уже осуществлённые попытки атак. За последние годы было опубликовано множество работ на эту тему, но основное внимание компания уделила проведённым удалённо атакам, в результате которых был взломан как минимум один электронный блок управления в автомобиле. В частности, компания использовала четыре хорошо изученных случая:

1. В 2015 году злоумышленники обнаружили лёгкий способ отправлять команды на автомобили Jeep американского производителя Chrysler при помощи технологии Telnet через незащищённый порт. Это привело к отзыву 1,4 миллиона машин.

2. В 2016 году стало известно о возможности вмешаться в работу компьютерной системы автомобиля Tesla Model S. Обнаружили это эксперты лаборатории Tencent Keen Security Lab, благодаря работе которых производитель исправил ошибки.

3. Спустя год, в 2017 году, ситуация повторилась уже с двумя моделями Tesla: Model S и Model X. Производитель вновь исправил ошибки, обнаруженные сотрудниками Tencent Keen Security Lab.

4. В 2018 году Tencent Keen Security Lab удалось атаковать подключённые автомобили BMW Group.

В докладе раскрывается масштаб изученных рисков кибербезопасности. Исследователи оценили 29 реальных сценариев атаки согласно модели угроз DREAD[1], которая позволяет провести качественный анализ рисков. Такие атаки могут удалённо осуществляться против транспортных средств-жертв и/или из них. Вот несколько примеров:

DDoS-атаки на интеллектуальные транспортные системы (ИТС) могут нарушить связь с автомобилями, и риск этого очень высок;
открытые и уязвимые подключённые автомобильные системы легко обнаружить, что повышает риск злоупотреблений;
более 17% всех исследованных векторов атак относились к группе высокого риска: они требуют лишь ограниченного понимания технологии подключённых автомобилей и могут быть выполнены даже злоумышленником с низкой квалификацией.

Наше исследование показывает, что у злоумышленников есть возможности для злоупотребления технологией подключённых автомобилей, — говорит Райнер Фосселер (Rainer Vosseler), менеджер по исследованию угроз компании Trend Micro. — К счастью, возможности для атак ограничены, а преступники не нашли надёжных способов их монетизировать. C появлением регламентов ООН, предписывающих, чтобы все подключённые автомобили имели встроенные решения для кибербезопасности, а также с подготовкой обновленного стандарта ISO настало время для заинтересованных сторон в отрасли обеспечить лучшее выявление и устранение киберрисков, поскольку уже приближается будущее, в котором подключённые и автономные автомобили будут встречаться повсеместно.

К 2030 году количество подключённых автомобилей достигнет 700 миллионов, а количество автономных транспортных средств приблизится к 90 миллионам, — добавляет технический директор Trend Micro в РФ и СНГ Михаил Кондрашин. — Фактически уже на начало 2021 года каждая автомашина оснащена технологиями для подключения к сети. Поэтому вопрос их защиты актуален.

По прогнозам, в период с 2018 по 2022 год по всему миру будет поставлено более 125 миллионов легковых автомобилей со встроенными возможностями для подключения к интернету, а также продолжит развиваться направление полностью автономных транспортных средств. Подобный прогресс приведёт к появлению сложной экосистемы, которая будет включать облачные решения, интернет вещей, 5G и другие ключевые технологии. Значительно увеличится и поверхность атаки, которая потенциально будет состоять из миллионов конечных точек и конечных пользователей.

По мере развития отрасли появятся многочисленные возможности для монетизации и саботажа для киберпреступников, хактивистов, террористов, национальных государств, инсайдеров и даже недобросовестных операторов, предупреждает отчёт. Во всех 29 исследованных векторах атак общий риск успешности кибератак был оценен как средний. Однако по мере того, как приложения SaaS встраиваются в электрическую/электронную архитектуру транспортных средств, а киберпреступники создают различные стратегии монетизации, риски могут значительно возрасти.

Чтобы снизить риски, описанные в исследовании, система безопасности подключённых автомобилей должна охватывать все критические области для защиты сквозной цепочки поставки данных. Компания Trend Micro предлагает такие общие рекомендации по защите подключённых автомобилей:

оценивайте риски компрометации как весьма вероятные и используйте эффективные инструменты для оповещения, сдерживания и смягчения последствий;
защитите сквозную цепочку передачи данных по электронной сети автомобиля, сетевой инфраструктуре, внутренним серверам и через центр управления безопасностью транспортных средств (Vehicle Security Operations Center — VSOC);
делайте выводы из зафиксированных атак и используйте их для дальнейшего укрепления защиты и предотвращения повторных инцидентов;
используйте технологии безопасности — брандмауэр, шифрование, управление устройствами, безопасность приложений, сканер уязвимостей, подпись кода, IDS для CAN, AV для головного устройства и другие.

2020: Безопасность данных: в чьих руках ключи?

Совершенно очевидно, что автономные автомобили должны быть защищены самыми современными средствами обеспечения кибербезопасности. Как указывается в одном исследовании^[4], 84% респондентов из числа инженеров-автомобилестроителей и IT-специалистов высказали озабоченность тем, что автопроизводители не успевают реагировать на все возрастающие киберугрозы.

Для обеспечения неприкосновенности клиента и его персональных данных все компоненты подключенных автомобилей – от аппаратного оборудования и программного обеспечения внутри самой машины до соединения с сетью и облаком – должны гарантировать самый высокий уровень безопасности. Ниже приведены некоторые меры, которые помогут автопроизводителям обеспечить безопасность и целостность данных, используемых беспилотными автомобилями.

Криптографическая защита ограничивает доступ к зашифрованным данным до определенного круга лиц, которым известен действующий «ключ».
Сквозная безопасность предполагает реализацию комплекса мер, позволяющих обнаружить попытку взлома в каждой точке входа в линию передачи данных – от микродатчиков до мачт связи 5G.
Целостность собранных данных является важным фактором и предполагает, что информация, полученная от транспортных средств, хранится в неизменном виде до момента ее обработки и преобразования в содержательные выходные данные. В случае повреждения преобразованных данных это дает возможность обратиться к «сырым» данным и провести их повторную обработку.

Для выполнения всех критически важных задач центральная система хранения данных автомобиля должна работать надежно. Но как автопроизводители могут гарантировать реализацию этих задач, если система выйдет из строя? Одним из способов предупреждения происшествий в случае отказа главной системы может быть создание резервной копии данных в дублирующей системе обработки данных, однако, такой вариант невероятно дорог в исполнении.

Поэтому некоторые инженеры пошли другим путем: они работают над созданием бэкап-систем для отдельных узлов машины, задействованных в обеспечении беспилотного режима движения, в частности тормозов, рулевого управления, датчиков и компьютерных микросхем. Таким образом, в автомобиле появляется вторая система, которая без обязательного резервного копирования всех хранящихся в автомобиле данных в случае критической неисправности оборудования сможет безопасно остановить автомобиль на обочине. Поскольку не все функции являются действительно жизненно важными (в чрезвычайной ситуации можно обойтись, например, без кондиционера или радио), такой подход, с одной стороны, не требует создания бэкапа некритических данных, что означает уменьшение расходов, и, с другой стороны, все-таки дает подстраховку на случай отказа систем.

По мере развития проекта беспилотных транспортных средств вся эволюция транспорта будет строится вокруг данных. Приспособив алгоритмы машинного обучения для обработки огромных объемов данных, от которых зависят автономные транспортные средства, и реализовав надежные и рабочие стратегии обеспечения безопасности и защиты их от внешних угроз, производители в какой-то момент смогут разработать автомобиль, который был бы достаточно безопасен для езды по цифровым дорогам будущего.