Мультимедийные развлекательные и коммуникационные системы, установленные на современных автомобилях, становятся все более популярными. Найденные в них дыры в системе безопасности обеспечивают кражу конфиденциальных данных на сопряженном телефоне!
Эти типы атак называются CarsBlues . Недавно представленный Андреа Амико — создатель мобильного приложения [Privacy4Cars — позволяет несанкционированному доступу через Bluetooth к телефону в сочетании с автомобильной развлекательной системой и собирать данные об истории вызовов, списке контактов и SMS-сообщениях. Эта проблема уже была передана в Центр обмена и анализа (Auto-ISAC) — организацию производителей автомобилей для обмена информацией и быстрого реагирования на киберугрозы. Два автопроизводителя уже заявили, что исправят свои модели на 2019 год. Однако, по оценкам, разрыв по-прежнему присутствует в миллионах автомобилей .
Это еще одна обнаруженная уязвимость, которая может позволить атаку CarsBlues. В прошлом году два аналитика по сетевой безопасности, Габриэль Кирлиг и Стефан Танас из IXII Group Inc., представили атаку на автомобильную мультимедийную систему с использованием специально созданного кода, написанного на языке сценариев. Атака позволила получить с подключенного телефона историю звонков , список контактов, SMS-сообщения, электронные письма и фотографии, а также записи, связанные с установленными приложениями. Украденные данные затем были скопированы на автомобильный стик, прикрепленный к автомобилю, без ведома пользователя. Никакое физическое вмешательство не требуется для устранения нарушений, представленных как дуэтом Gabriel Cirlig, так и Stefan Tanase (через WiFi) и Andrea Amico (через Bluetooth). Все, что вам нужно сделать, это соединить преступное устройство с автомобильной развлекательной системой или подключиться к автомобильной сети Wi-Fi.
Privacy4Cars предупреждает, что проблема в основном затрагивает людей, использующих арендованные автомобили. Мы никогда не уверены, что кто-то ранее модифицировал программное обеспечение на арендованном автомобиле, например, для сбора конфиденциальных данных со спаренных мобильных телефонов во внутренней памяти. Комментарии Дариуш Возняк, технический специалист Bitdefender из Маркена.
Проблема очень серьезная. Описанные уязвимости касались конкретных моделей автомобилей и были устранены. Однако стоит помнить, что разные производители разных марок часто используют одни и те же или слегка модифицированные библиотеки кодов, что увеличивает вероятность того, что на рынке все еще есть много уязвимых цифровых автомобильных развлекательных и коммуникационных систем.
