Trăim în secolul vitezei și al informațiilor, iar mașinile țin pasul – sau trapul, susținut de caii putere – cu cele mai noi tehnologii. Dacă ar fi să aleg între o mașină clasică, fără foarte multe sisteme super avansate, și una cu toate dotările posibile, cu cât mai multe dispozitive și posibilități de interconectare, aș opta, cu siguranță, pentru cea de-a doua variantă.
Indiferent de preferința mea, realitatea este că mașinile conectate la Internet au niște probleme de securitate care le fac vulnerabile în fața unui potențial atacator, și încerc, de fiecare dată, să atrag atenția asupra lor. În industria producătoare de mașini, lucrurile nu se întâmplă de pe o zi pe alta, tocmai de aceea este foarte importantă conștientizarea din partea companiilor. Securitatea este o problemă la care trebuie să se gândească acum, înainte să o facă hackerii. Apoi, va dura cam 3-5 ani, până când noile modele, care ar include setări de securitate, vor ajunge pe piață.
Din fericire, până acum nu am văzut atacuri reale în acest domeniu, deci industria auto nu este încă în situația altor producători de dispozitive conectate, care deja au fost ținta unor grupuri de infractori cibernetici.
Problema fundamentală cu securitatea sau lipsa de securitate a mașinilor este că elementele vitale ale acestora ar trebui să fie separate de cele de informații și divertisment. Astfel, în cazul în care cineva ar reuși să obțină control de la distanță asupra mașinii, nu ar putea să frâneze brusc, de exemplu, ci doar să schimbe postul de radio sau să pornească ștergătoarele. În plus, pentru că vulnerabilități de soft vor exista probabil întotdeauna, atâta vreme cât soft-ul este făcut de oameni, este foarte important să fie implementat un sistem de actualizări automate, cum este cel folosit de Apple pentru iPhone.
De curând, colegii mei au făcut un studiu asupra a șapte dintre cele mai folosite aplicații pentru controlul de la distanță al mașinilor, din punct de vedere al securității cibernetice. Astfel de aplicații sunt foarte populare, unele având câteva milioane de descărcări în Google Play. Folosind o aplicație, poți să obții coordonatele și traiectoria unei mașini, să deschizi ușile, să pornești motorul și să controlezi alte dispozitive. Este comod, dar ar trebui găsit un echilibru între “comod” și “sigur”, pentru că acum balanța înclină, fără prea multe ezitări, în direcția confortului.
Printre altele, cercetătorii au verificat dacă aplicațiile au anumite funcții riscante, adică, dacă prin intermediul lor, cineva ar putea fura mașina sau i-ar putea inactiva vreun sistem. În plus, au vrut să vadă dacă dezvoltatorii s-au gândit să împiedice cumva tentativele de a face o analiză asupra aplicației și de a obține acces la server sau la sistemul multimedia.
Printre problemele de securitate identificate în cadrul acestui studiu este absența unui CIC (cod de verificare a integrității), care ar opri un potențial infractor să-și introducă propriul cod în aplicație și să suprapună un program fals celui autentic. O altă vulnerabilitate importantă este păstrarea datelor de logare necriptate, făcându-le ușor de furat. În plus, nu există mecanisme de detectare a tentativelor de rooting – ceea ce ar da control aproape total unui malware – sau tactici de a contracara tentativele de analiză a aplicației, prin ambalaj sau inducerea în eroare a unui utilizator rău intenționat.
Dacă exploatează câteva dintre aceste probleme de securitate și se pregătește din timp, un infractor ar putea să prea controlul, să dezactiveze alarma și să deblocheze ușile, iar, până la urmă, să fure mașina.
În concluzie, este posibil și nu exagerat de complicat să folosești aplicațiile de acest fel împotriva posesorilor. La fel de adevărat este că, până acum, nu am văzut niciun atac real asupra lor, dar dintr-un motiv foarte simplu: pentru că încă nu a devenit o afacere atractivă pentru infractori. În momentul în care va deveni, nu le va fi deloc greu să adapteze un tip de troian pentru industria auto, care sper că până atunci va fi mai bine pregătită.
Text: Ștefan Tănase, Senior Security Researcher Kaspersky Lab