Няколко уязвимости в сигурността в продуктите на известен китайски автомобилен производител засягат стотици хиляди автомобили по пътищата. Името на компанията остава неразкрито поради нормативната уредба, но през 2024 г. са продадени повече от 150 000 автомобила на компанията, което означава, че много автомобили по пътищата в Китай в момента функционират с тези пропуски.
„Уязвимостите, които открихме, могат да доведат до дистанционно управление на автомобила след провеждане на атаки от типа „човек по средата““, казва изследователят по сигурността Инджи Цао, който заедно със Синфън Чен ще се качи на сцената на Black Hat Asia следващия месец, за да обсъди откриването на бъговете. Те са открили слабости в два различни модела, допълва Као.
Първата грешка, която дуото е открило, е в автомобилната информационно-развлекателна система (IVI), известна още като главно устройство, и в крайна сметка може да доведе до изпълнение на код с ниски привилегии.
„Можем [също така] да се завъртим в друго приложение и да използваме друг експлойт на ядрото, за да получим привилегии на системата за развлечение [infotainment]“, казва Цао, който за първи път открива проблема през 2021 г. „След това можем да получим някои ограничени функции за управление на автомобила, като отваряне на вратата, отваряне на багажника, прозореца или фаровете“.
Втората уязвимост, открита едва миналата година, съществува в приложението за автомобила, което не разполага със собствен доверен сертификат. Цао обяснява, че той и Чен са успели да превземат целия трафик на приложението, като просто са инжектирали фалшив сертификат. В допълнение към това двамата са успели да се сдобият с токън, който им е позволил да управляват автомобила от разстояние.
Експлойтите „човек по средата“ (MiTM), които Као и Чен описват в изследването си, са „на ниво начинаещ“, казват те и добавят, че всеки, който има известни познания по киберсигурност, може да извърши такава атака.
Днес много автомобилни компании все още наваксват, когато става въпрос за използване на умения и ресурси в областта на киберсигурността. В проучване, поръчано от Synopsys и SAE international, изследователите установяват, че типичните автомобилни организации имат само девет служители на пълно работно време, които се фокусират върху управлението на киберсигурността на продуктите.
Нещо по-лошо, 30% от анкетираните съобщават, че изобщо нямат екип по киберсигурност в своята организация. А тези, които имат такива програми за сигурност, тестват по-малко от половината от хардуера, софтуера и другите технологии, съдържащи се в техните автомобили.
В същото време има все повече констатации за компрометирани автомобили.
Вземете например шестте неотстранени уязвимости, открити наскоро в системата IVI на Mazda, които могат да бъдат използвани чрез обикновено USB. Някои от тях биха могли да позволят пълно компрометиране на софтуера на системата, докато друга уязвимост би могла да позволи на заплахата да се насочи към шината CAN (Controller Area Network) на автомобила, която отговаря за физическите функции на автомобила.
Това състояние на нещата става още по-тревожно, като се има предвид тенденцията за „софтуерно дефинирани“ функции в автомобилите; повече код означава повече уязвимости, които могат да бъдат използвани, а много от тях могат да бъдат извършени от разстояние.
Практическите изследвания на сигурността на хардуера на автомобилите остават трудни за изпълнение поради липсата на достъп на изследователите на сигурността до патентовани компоненти и софтуер, които могат да бъдат защитени или много скъпи за получаване. Затова в рамките на своите изследвания Као и Чен се стремят да разширят границите на начините за откриване на уязвимости, като покажат, че съществуват алтернативни методи за разкриване на пропуски в киберсигурността.
„В нашата беседа ще изразим мнение, че не сме купували никакви части“, казва Као. „Просто тествахме от разстояние.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
