Hackování aut připojených na Internet není jen hudba budoucnosti

Hlavním cílem průzkumu bylo získat přehled o trhu s propojenými auty pomocí analýzy všech dostupných informací a pokusit se sjednotit vysoce fragmentovaný softwarový ekosystém, který v současnosti automobilový průmysl nabízí.

Jak moc dalece propojená auta?

Automobily s vlastní konektivitou již nemají za úkol pouze odnavigovat a pomoci lépe zaparkovat. Čím dál tím častěji zahrnují i přístup do sociálních sítí, e-mailu, spojení s chytrými telefony a zabudované aplikace, které odemykají další potenciál vozu. Vedle výhod přinášejí ale také roztříštěný ekosystém operačních systémů a aplikací a – pochopitelně – také určitá rizika, a proto je třeba analyzovat různé situace, které mohou vést ke kybernetickým útokům, nehodám nebo dokonce podvodnému nakládání s vozidlem.

Soukromí, aktualizace a aplikace v mobilních telefonech určené pro tato auta mohou být využity k třem různým způsobům útoku kybernetických zločinců. Majitelům „propojených aut“ mohou být například odcizena hesla. To může vést k lokalizaci auta a jeho vzdálenému odemknutí. Tato vozidla se podle analytiků stávají terčem podobných útoků, které doposud cílily hlavně na počítače a chytré telefony.

Co přinesla analýza systému BMW ConnectedDrive

Odcizená osobní data: Odcizení informací sloužících k přístupu na web BMW pomocí známých metod jako je phishing, odezírání klávesnice nebo sociální inženýrství může vést k neoprávněnému přístupu třetích stran k uživatelským datům a k vozidlu samotnému. Odsud je možné nainstalovat mobilní aplikace se stejnými informacemi a umožnit vzdálené ovládání ještě před otevřením auta a odjezdem s ním.

Mobilní aplikace: Pokud aktivujete mobilní službu otevření auta, můžete bez problémů vytvořit novou sadu klíčů k vašemu autu. Pokud tato aplikace není zabezpečená, kdokoli, kdo ukradne telefon, získá přístup k autu. S odcizeným mobilem je možné změnit databázi aplikací a obejít jakékoli ověření pomocí PINu, což kybernetickým zločincům usnadňuje vzdálený přístup.

Aktualizace: Ovladače bluetooth jsou aktualizovány stažením souboru z webu BMW a nainstalováním na USB. Tento soubor není ani šifrován ani podepsán a obsahuje mnoho informací o vnitřním systému, který v autě běží. To může potenciálnímu útočníkovi poskytnout přístup do prostředí, na nějž cílí, a může být změněno tak, aby spustilo škodlivý kód.

Komunikace: Některé funkce komunikují se SIM kartou v autě pomocí SMS. Prolomení tohoto kanálu umožní poslat falešné instrukce. Záleží přitom na úrovni šifrování operátora. V tom nejhorším scénáři může útočník vyměnit komunikační systém BMW za vlastní instrukce a služby.

Některé obecnější znepokojivé závěry

Studie se také zaměřila na konektivitu online a španělský automobilový průmysl. Analyzovala 21 různých modelů vozů a narazila přitom na několik znepokojivých zjištění. Mimo jiné zjistila, že operační systémy, modely připojení a aplikace jsou vysoce roztříštěné, bezplatné služby jsou dnes časově omezené – výrobci je nabízí jen na určitou dobu a ani automobilům se nevyhýbají problémy s pokrytím (3G/LTE). S konektivitou souvisí také další problém, uživatelům, kteří vnímají nadstandardní funkce vozu jako servis, na který mají jednoduše nárok, nechce platit za přídavná data.