Автомобили не в состоянии защититься от хакерских атак

Новые технологии, которые внедряют в современные автомобили, существенно упрощают взаимодействие водителя с машиной. Но наряду с очевидными преимуществами, автомобили становятся все более зависимыми от электронных систем, которые являются источником для абсолютно нового спектра угроз.

В большинстве автомобилей, в которых используются беспроводные технологии и Bluetooth, наблюдаются серьезные уязвимости в системе безопасности и конфиденциальности данных, говорится в докладе, сделанном по заказу офиса американского сенатора от штата Массачусетс Эдварда Марки (Edward Markey).

Офис сенатора Марки отправил запросы касательно потребительской безопасности 20 автопроизводителям. Ответы были получены от BMW, Chrysler, Ford, MG, Honda, Hyundai, Jaguar Land Rover, Mazda, Mercedes-Benz, Mitsubishi, Nissan, Porsche, Subaru, Toyota, Volkswagen и Volvo. Компании Aston Martin, Lamborghini и Tesla Motors проигнорировали запрос. Ответы автокомпаний подтвердили, что безопасность и конфиденциальность данных пользователя под угрозой.

"Водители привыкли полагаться на новые технологии, но, к сожалению, автопроизводители не способны защитить нас от кибератак или нарушений конфиденциальности", – заявил сенатор Эдварда Марки.

Хакнуть машину

В современных автомобилях и легких грузовиках, как правило, установлено свыше 50 электронных блоков управления – по существу небольших компьютеров, которые связаны в единую сеть. В докладе Эдварда Марки "Tracking & Hacking: Security & Privacy Gaps Put American Drivers at Risk" говорится, что почти 100% автомобилей на рынке поставляются с несколькими беспроводными точками доступа к компьютерным модулям, отвечающим за работу разных систем автомобиля. К таким системам относятся Bluetooth, доступ к интернету, контроль давления в шинах, бесключевой доступ, дистанционный запуск двигателя, радио-, навигационные и противоугонные системы. И все они недостаточно защищены от злоумышленников.

В опубликованном в 2011 году американскими учеными исследовании говорится, что хакеры могут получить контроль над некоторыми популярными легковыми автомобилями и внедорожниками. Ученые Калифорнийского и Вашингтонского университетов в качестве эксперимента удаленно взломали электронное оборудование седана, который они купили для этих целей. В результате было обнаружено несколько уязвимостей программного обеспечения, которые, по словам ученых, могут позволить злоумышленникам удаленно взять под контроль различные функции в автомобиле, такие как запирание дверей машины и управление тормозной системой, а также отслеживать местоположение автомобиля, подслушивать разговоры в салоне и похитить данные транспортного средства.

Хакеры через уязвимости в ПО могут внезапно ускорить авто, повернуть на встречку, подать звуковой сигнал, включить/выключить фары, изменить показания спидометра и уровня топлива в баке

Большинство производителей автомобилей, которые были опрошены в рамках исследования, "не осведомлены или не имеют полномочий сообщить о последних хакерских инцидентах" . Из 16 производителей, которые ответили на запрос, Jaguar Land Rover, Porsche и Volkswagen не ответили вообще. 12 компаний заявили, что они не обладают информацией об инцидентах несанкционированного доступа, и только один из опрошенных сумел засечь попытку взлома. В исследовании говорится, что приложение было разработано третьей стороной и выпущено для Android-устройств, которые интегрировались с автомобилем через Bluetooth-соединение. Анализ безопасности не выявил возможность вносить вредоносный код или украсть данные, но производителю пришлось удалить приложение из магазина Google Play в качестве меры предосторожности. Некоторые пользователи пытались перепрограммировать бортовой компьютер автомобиля, чтобы увеличить мощность двигателя или крутящий момент за счет использования "функциональных фишек".

Только четыре автопроизводителя смогли описать возможные способы реагирования на взлом в режиме реального времени, большинство сообщили, что они полагаются на технологии, которые вообще не могут быть использованы с этой целью. Например, одна компания заявила, что может отключить уязвимые функции. Другой производитель сказал, что может замедлить и остановить взломанный автомобиль, если он приведен в движение. Третий ответил, что может дистанционно перевести машину в режим "повышенной безопасности". Еще один респондент ответил, что свяжется с водителем дистанционно, чтобы предупредить и решить любые проблемы.

В докладе говорится, что исходя из всех ответов, только один из опрошенных автопроизводителей в состоянии обнаружить взлом, один или два описали надежные способы реагирования на подобные попытки несанкционированного доступа в режиме реального времени.

Использование данных

Автопроизводители собирают большое количество данных о транспортном средстве. Как показал опрос крупнейший автопроизводителей, при помощи установленных в автомобиле электронных систем собираются и хранятся массивы различных типов данных:

1. Географическое положение: физическое местоположение записывается через регулярные промежутки времени; предыдущие направления вносятся в систему навигации; последнее место парковки.
2. Системные настройки: внезапное изменение скорости, положение угла поворота рулевого колеса, включение тормоза, использование ремней безопасности и срабатывание подушки безопасности; коды неисправностей / ошибок в электронных системах.
3. Оперативные данные: скорость автомобиля; направление движения; расстояние и время поездки; средний расход топлива; положение стеклоподъемников, дверей и замков; давление в шинах; уровень топлива; показания тахометра; показания одометра; пробег после последней замены масла; состояние аккумулятора; температура охлаждающей жидкости; статус двигателя; внешняя температура и давление.

Производители собирают очень много данных об автомобиле: уровень топлива, давление в шинах, место и время парковки – и всё это где-то хранится

В докладе отмечается, что только три производителя ответили, что не собирают никакую информацию об истории вождения, три компании перечислили все три категории. Как правило, данные транспортного средства хранятся в стороннем центре обработки данных с разной степенью защищенности (более половины компаний ответили, что передают информацию на анализ третьим лицам). При этом производители, проводя такую политику сбора данных, обычно не ставят клиентов в известность о том, какие данные о них сохраняются и как они будут использованы. Зачастую не существует отчетливого способа отказаться от сбора данных (если вообще есть такая возможность).

Доля автопроизводителей, которые собирают и передают данные о транспортном средстве

В ответ на проблемы конфиденциальности ряд ведущих автопроизводителей (BMW, Chrysler, Ford, GM, Honda, Hyundai-Kia, Mercedes-Benz, Nissan, Toyota, Volkswagen, Volvo, Mitsubishi и Mazda) согласились принять новые принципы конфиденциальности по вопросам обмена данными, а именно "минимизации данных, де-идентификации и хранения". В рамках этого соглашения автопроизводителям разрешено использовать данные только для внутренних исследований, для отслеживания месторасположения украденного автомобиля или для безопасности и соблюдения гарантийных услуг.

Исследование показало, что интенсивное развитие технологий создает новые вызовы безопасности, на которые ни производители, ни пользователи не успевают реагировать. Сегодня злоумышленники могут дистанционно взломать электронные системы транспортного средства, получить доступ к управлению автомобилем и информации. Автопроизводители должны принять новые стандарты относительно безопасности и защиты конфиденциальных данных. Современные транспортные средства с беспроводными системами должны быть надежно защищены от взломов и нарушений безопасности, автопроизводитель должны включить меры реагирования на незаконное проникновение в режиме реального времени, а также учитывать интересы пользователей относительно сбора, передачи и использования данных.

Автор: Алиса Иванова