17/02/2017

Android dla aut: bezpieczne połączenie?

Informacje Zagrożenia

W filmie Stary, gdzie moja bryka (2000) widzowie oglądali zabawną historię dwójki mężczyzn, którzy tak zabalowali, że zapomnieli, gdzie zaparkowali swoje auto. Wszyscy tak mieliśmy — może nie w takim wydaniu jak bohaterowie filmu, ale na pewno choć raz zapomniałeś, gdzie zaparkowałeś, gdy pojechałeś na koncert, do centrum handlowego czy marketu.

17 lat później mamy aplikacje do wszystkiego — nawet swojego auta. Jeśli aplikacja może ułatwić Ci życie, ktoś ją napisze i będzie jej używać mnóstwo ludzi.

Od kilku ostatnich lat koncepcja aut posiadających dostęp do Internetu nieustannie ewoluuje — i staje się rzeczywistością. Na tegorocznej konferencji RSA Conference w San Francisco nasi eksperci badający szkodliwe programy, Wiktor Czebyszew i Michaił Kuzin, zaprezentowali wyniki przebadania siedmiu popularnych aplikacji dla pojazdów.

Wydaje się, że aplikacje ułatwiają życie, łącząc urządzenia z systemem Android z samochodami. Lecz nas zainteresowało jedno: czy zamieniamy bezpieczeństwo na wygodę? Podobnie jak w przypadku wielu innych urządzeń Internetu Rzeczy, twórcy aplikacji i producenci przedmiotów muszą nadawać większy priorytet kwestiom bezpieczeństwa.

Do głównych funkcji tych aplikacji należy otwieranie drzwi oraz czasami uruchamianie silnika. Niestety luki w takich aplikacjach mogą zostać wykorzystane przez atakujących:

Brak ochrony przed inżynierią wsteczną aplikacji. W efekcie cyberprzestępcy mogą wyszukać luki w zabezpieczeniach, które pozwolą im uzyskać dostęp do infrastruktury po stronie serwera lub systemu multimedialnego samochodu.
Brak sprawdzania integralności kodu. Dzięki temu przestępcy mogą dołączyć do aplikacji własny kod, dodając do niej szkodliwe funkcje i zamieniając oryginalny program na fałszywy na urządzeniu.
Brak techniki wykrywania dostępu do uprawnień administracyjnych smartfona. Prawa na poziomie administratora zapewniają trojanom niemal nieskończone możliwości, czyniąc aplikację bezbronną.
Brak ochrony przed technikami nakładania się na aplikacje. Dzięki temu szkodliwe aplikacje mogą wyświetlać okna phishingowe na oryginalnych oknach aplikacji, nakłaniając użytkowników do wprowadzenia danych logowania w oknach, które wysyłają je do przestępców.
Przechowywanie loginów oraz haseł w czystym tekście. Za pośrednictwem tego słabego punktu przestępca może stosunkowo łatwo ukraść dane użytkowników.

Po wykorzystaniu luki przestępca może przejąć kontrolę nad samochodem, odblokować drzwi, wyłączyć alarm i, teoretycznie, ukraść samochód.

Badacze przekazali swoje wnioski twórcom (nazwy tych aplikacji nie zostały upublicznione), a także poinformowali ich, że nie stwierdzono wykorzystania tych luk na wolności. Szczegółowy raport na ten temat znajduje się w serwisie Securelist.

Łatwo schować głowę w piasek, twierdząc, że problem dotyczy tylko wszystkich, tylko nie mnie, albo że to są informacje rodem z fantastyki naukowej, lecz prawda jest taka, że auta są celem przestępców od zawsze. A jeśli zhakowanie ich miałoby ułatwić sprawę, muszą tylko znaleźć możliwości.

Warto pamiętać również o tym, że widzieliśmy już liku, które umożliwiają białym kapeluszom wykorzystanie takich luk w celu przejęcia kontroli nad autem. Widzieliśmy dwie takie historie, gdy Charlie Miller i Chris Walasek przejęli kontrolę nad Jeepem, wykorzystując do tego celu wykryte luki.

Bezpieczeństwo osobiste i korzystanie z aplikacji to sprawy prywatne. Od nas zależy, z kim się dzielimy naszymi danymi lub komu ufamy. Jeśli chodzi o urządzenia Internetu i aplikacje, wygoda zbyt często wygrywa z bezpieczeństwem.

Podsumowując badanie, Czebyszew powiedział:

„Aplikacje przeznaczone dla samochodów połączonych z internetem nie są gotowe do odpierania ataków przy użyciu szkodliwego oprogramowania. Producenci samochodów będą musieli przebyć tę samą drogę, którą pokonały już banki, jeśli chodzi o swoje aplikacje… Po wielu przypadkach ataków na aplikacje bankowe, wiele banków poprawiło bezpieczeństwo swoich produktów

Na szczęście nie zidentyfikowaliśmy jeszcze żadnych przypadków ataków na aplikacje samochodowe, co oznacza, że producenci samochodów wciąż mają czas na właściwe działania. Ile dokładnie czasu – nie wiadomo. Współczesne trojany są bardzo elastyczne – jednego dnia mogą zachowywać się jak zwykłe oprogramowanie reklamowe, a następnego mogą z łatwością pobrać nową konfigurację umożliwiającą atakowanie nowych aplikacji. Powierzchnia ataku jest naprawdę ogromna w tym przypadku”.