Stačí len ŠPZ a o 30 sekúnd máš po aute. Autá obľúbenej značky Slovákov sa dali ľahko hacknúť
Bezpečnostní analytici popisujú slabiny v automobiloch KIA, cez ktoré sa dokázali hackeri dostať do auta už za 30 sekúnd.
Bezpečnostní experti zo Samcurry objavili niekoľko bezpečnostných slabín v automobiloch značky KIA. Vysvetľujú, že cez tieto slabiny môže útočník teoreticky získať prístup ku kľúčovým funkciám automobilu, pričom mu stačí vedieť iba ŠPZ vozidla.
Útoky popisované v štúdii sa dajú vykonať na takmer akomkoľvek vozidle KIA za približne 30 sekúnd a nezávisí na tom, či má vozidlo aktivované predplatné KIA Connect. Počas útoku dokáže kyberzločinec získať prístup k citlivým informáciám, napríklad k menu, telefónnemu číslu, e-mailovej a fyzickej adrese majiteľa. S týmito informáciami sa dokáže hacker pridať do účtu ako druhý, neviditeľný, užívateľ bez vedomia majiteľa.
Výskumníci v rámci práce vytvorili špeciálny softvér, ktorý dokáže vykonať vyššie spomenutý útok. Nástroj slúžil ako demonštrácia kritických slabín. Do tohto softvéru stačilo zadať ŠPZ vozidla a spustiť útok. Nástroj automaticky vykonal niekoľko škodlivých príkazov a tento proces dokopy trval 30 sekúnd.
Autori štúdie upokojujú, že tento nástroj nebol nikdy zverejnený. Zároveň automobilka KIA slabiny už opravila a nevyzerá to, že by si slabiny všimol nejaký hacker v reálnom svete a zneužil ich.
“Odhalené slabiny sú výsledkom približne dvojročnej práce. V tejto dobe sme sa s partnermi rozhodli pátrať po bezpečnostných slabinách v desiatkach odlišných modelov automobilov. Podarilo sa nám objaviť niekoľko kritických slabín, ktoré dovoľovali útočníkom na diaľku nájsť automobil, deaktivovať štartér, odomknúť a nakoniec aj naštartovať vozidlo,” vyjadrujú sa bezpečnostní experti.
Odhalené slabiny sa týkali odhadom viac ako 15-milióna automobilov, čo vyvolalo naozaj veľkú reakciu. Od prvého odhalenia bezpečnostných slabín ubehlo veľa času a preto sa bezpečnostní experti rozhodli, že experiment zopakujú. Prácu začali s automobilkou KIA. Začali s webovou stránkou a mobilnou aplikáciou.
Neprehliadni
Ako analytici vysvetľujú, obe aplikácie sú zaujímavé, pretože majiteľ vozidla cez ne dokáže zadávať príkazy vozidlu. Webstránka majiteľov vozidiel KIA a mobilná aplikácia síce umožňovali to isté, no to, ako vybavovali príkazy vozidlu sa líšilo.
Nenápadný útok
Bezpečnostní experti zistili, ako príkazy vozidlu fungujú a následne vyvinuli nástroj, pomocou ktorého dokázali ovládať cudzie vozidlo. Tu vysvetľujú, že obeť útoku nedostane žiadne upozornenie ohľadom toho, že niekto získal prístup do vozidla alebo sa zmenili povolenia pre prístup k automobilu. Útočník môže získať ŠPZ vozidla a jeho VIN. Následne môže pasívne sledovať majiteľa vozidla alebo zadávať príkazy do vozidla, napríklad zamknutie dverí, naštartovanie motora alebo zatrúbenie.
Takýto prístup k cudziemu vozidlu predstavuje zo zjavných dôvodov obrovské riziko. Bezpečnostní experti odhalené slabiny okamžite prezentovali spoločnosti KIA. Zatiaľ čo automobilka pracovala na oprave chýb, bezpečnostní experti vytvorili šikovný nástroj, cez ktorý dokázali lepšie demonštrovať tento znepokojivý útok.
Autorom výskumu sa podarilo nástroj na jednoduchší prístup k vozidlu vytvoriť a jeho účinnosť demonštrovali na uzamknutom prenajatom automobile KIA. Vo videu nižšie sa môžeš pozrieť na to, ako jednoducho sa dá ovládnuť automobil len s pomocou smartfónu.
Autori štúdie vysvetľujú, že automobily mali a aj budú mať bezpečnostné slabiny. Hoci automobil nie je žiadna sranda, situácia je rovnaká, ako napríklad pri Facebook účte alebo obľúbenej četovacej aplikácii. Vývojár môže pracovať na novej funkcii, pričom zmení určitú časť kódu bez toho, aby ho napadlo, že táto zmena môže aplikáciu otvoriť bezpečnostným slabinám. Rovnakú chybu môžu urobiť aj výrobcovia pri navrhovaní softvéru automobilu.
Bleskové kradnutie auta
Podobný prípad sa momentálne odohráva aj v americkom štáte Ohio. Tu ale nejde o špecifický hackerský softvér a bezpečnostnú slabinu automobilov. Partička zlodejov ale používa diagnostický skener, ktorý bežne používajú servisy na to, aby zistili, čo je s tvojim autom v neporiadku. Viac o tomto prípade píšeme v tomto článku.
