Няколко уязвимости в сигурността в продуктите на известен китайски автомобилен производител засягат стотици хиляди автомобили по пътищата. Името на компанията остава неразкрито поради нормативната уредба, но през 2024 г. са продадени повече от 150 000 автомобила на компанията, което означава, че много автомобили по пътищата в Китай в момента функционират с тези пропуски.
„Уязвимостите, които открихме, могат да доведат до дистанционно управление на автомобила след провеждане на атаки от типа „човек по средата““, казва изследователят по сигурността Инджи Цао, който заедно със Синфън Чен ще се качи на сцената на Black Hat Asia следващия месец, за да обсъди откриването на бъговете. Те са открили слабости в два различни модела, допълва Као.
Грешки в сигурността на автомобилите, позволяващи изпълнение на код
Първата грешка, която дуото е открило, е в автомобилната информационно-развлекателна система (IVI), известна още като главно устройство, и в крайна сметка може да доведе до изпълнение на код с ниски привилегии.
„Можем [също така] да се завъртим в друго приложение и да използваме друг експлойт на ядрото, за да получим привилегии на системата за развлечение [infotainment]“, казва Цао, който за първи път открива проблема през 2021 г. „След това можем да получим някои ограничени функции за управление на автомобила, като отваряне на вратата, отваряне на багажника, прозореца или фаровете“.
Втората уязвимост, открита едва миналата година, съществува в приложението за автомобила, което не разполага със собствен доверен сертификат. Цао обяснява, че той и Чен са успели да превземат целия трафик на приложението, като просто са инжектирали фалшив сертификат. В допълнение към това двамата са успели да се сдобият с токън, който им е позволил да управляват автомобила от разстояние.
Експлойтите „човек по средата“ (MiTM), които Као и Чен описват в изследването си, са „на ниво начинаещ“, казват те и добавят, че всеки, който има известни познания по киберсигурност, може да извърши такава атака.
Софтуерната сигурност е сигурност на превозното средство
Днес много автомобилни компании все още наваксват, когато става въпрос за използване на умения и ресурси в областта на киберсигурността. В проучване, поръчано от Synopsys и SAE international, изследователите установяват, че типичните автомобилни организации имат само девет служители на пълно работно време, които се фокусират върху управлението на киберсигурността на продуктите.
Нещо по-лошо, 30% от анкетираните съобщават, че изобщо нямат екип по киберсигурност в своята организация. А тези, които имат такива програми за сигурност, тестват по-малко от половината от хардуера, софтуера и другите технологии, съдържащи се в техните автомобили.
В същото време има все повече констатации за компрометирани автомобили.
Вземете например шестте неотстранени уязвимости, открити наскоро в системата IVI на Mazda, които могат да бъдат използвани чрез обикновено USB. Някои от тях биха могли да позволят пълно компрометиране на софтуера на системата, докато друга уязвимост би могла да позволи на заплахата да се насочи към шината CAN (Controller Area Network) на автомобила, която отговаря за физическите функции на автомобила.
Това състояние на нещата става още по-тревожно, като се има предвид тенденцията за „софтуерно дефинирани“ функции в автомобилите; повече код означава повече уязвимости, които могат да бъдат използвани, а много от тях могат да бъдат извършени от разстояние.
Практическите изследвания на сигурността на хардуера на автомобилите остават трудни за изпълнение поради липсата на достъп на изследователите на сигурността до патентовани компоненти и софтуер, които могат да бъдат защитени или много скъпи за получаване. Затова в рамките на своите изследвания Као и Чен се стремят да разширят границите на начините за откриване на уязвимости, като покажат, че съществуват алтернативни методи за разкриване на пропуски в киберсигурността.
„В нашата беседа ще изразим мнение, че не сме купували никакви части“, казва Као. „Просто тествахме от разстояние.“
