Επικίνδυνο κενό ασφαλείας σε μεγάλη αυτοκινητοβιομηχανία-Έδινε σχεδόν πλήρη πρόσβαση σε χάκερ

Ένας ερευνητής απέκτησε δικαιώματα διαχειριστή και μπορούσε να συνδέσει οποιοδήποτε όχημα με δικό του λογαριασμό. Με ποιόν τρόπο μπορούσε να αποκτήσει πρόσβαση.

κυβερνοασφάλεια στα σύγχρονα αυτοκίνητα

Ένα σοβαρό κενό ασφαλείας σε σύστημα μεγάλης αυτοκινητοβιομηχανίας θα μπορούσε να δώσει σε χάκερ τη δυνατότητα να ξεκλειδώνουν αυτοκίνητα από απόσταση, να βλέπουν πού βρίσκονται και να αποκτούν πρόσβαση σε προσωπικά και οικονομικά στοιχεία των ιδιοκτητών τους.

κυβερνοασφάλεια στα σύγχρονα αυτοκίνητα

Το κενό ασφαλείας παρουσιάστηκε στο συνέδριο κυβερνοασφάλειας DEF CON στο Λας Βέγκας από τον ερευνητή Eaton Zveare, ο οποίος εργάζεται στην εταιρεία λογισμικού Harness. Την υπόθεση έφερε αρχικά στη δημοσιότητα το TechCrunch.

Διαβάστε Επίσης

Ο Zveare δεν αποκάλυψε ποια αυτοκινητοβιομηχανία επηρεαζόταν, περιοριζόμενος να αναφέρει ότι πρόκειται για έναν ιδιαίτερα γνωστό όμιλο, ο οποίος διαθέτει στην αγορά δημοφιλείς επιμέρους μάρκες. Αυτό σημαίνει ότι, θεωρητικά, το πρόβλημα θα μπορούσε να αφορά μεγάλο αριθμό αυτοκινήτων, εφόσον η ευπάθεια είχε εντοπιστεί και αξιοποιηθεί από κάποιον με κακόβουλες προθέσεις.

κυβερνοασφάλεια στα σύγχρονα αυτοκίνητα

Το πρόβλημα βρισκόταν στη διαδικτυακή πλατφόρμα που χρησιμοποιούν οι επίσημοι αντιπρόσωποι της εταιρείας. Σύμφωνα με τον ερευνητή, αδυναμίες στο σύστημα σύνδεσης του επέτρεψαν να παρακάμψει πλήρως την ταυτοποίηση και να δημιουργήσει έναν λογαριασμό με πλήρη δικαιώματα διαχειριστή.

Μέσω της πλατφόρμας μπορούσε να χρησιμοποιήσει το εργαλείο αναζήτησης χρηστών και να συνδέσει οποιοδήποτε όχημα με έναν νέο λογαριασμό στην εφαρμογή της αυτοκινητοβιομηχανίας. Οι εφαρμογές αυτού του είδους προσφέρουν συνήθως λειτουργίες όπως απομακρυσμένο κλείδωμα και ξεκλείδωμα, εκκίνηση του κινητήρα και εντοπισμό της θέσης του αυτοκινήτου.

stop-start λειτουργία

Για την αναζήτηση ενός ιδιοκτήτη αρκούσαν το όνομα και το επώνυμό του. Ακόμη όμως και χωρίς αυτά τα στοιχεία, ο αριθμός πλαισίου του οχήματος, γνωστός ως VIN, μπορούσε να χρησιμοποιηθεί για την εμφάνιση των δεδομένων του κατόχου μέσα στο σύστημα.

Ο Zveare επιβεβαίωσε στην πράξη την ευπάθεια χρησιμοποιώντας το αυτοκίνητο ενός φίλου του. Μετέφερε τον έλεγχο του λογαριασμού της εφαρμογής στο δικό του προφίλ, αποκτώντας τις ίδιες δυνατότητες που είχε προηγουμένως ο πραγματικός ιδιοκτήτης.

Ο ερευνητής ξεκαθάρισε ότι δεν δοκίμασε εάν θα μπορούσε να οδηγήσει ή να απομακρύνει το όχημα. Ωστόσο, το επίπεδο πρόσβασης που είχε αποκτήσει θα μπορούσε να εκθέσει προσωπικά αντικείμενα, δεδομένα και πληροφορίες των χρηστών.

Η ευπάθεια αναφέρθηκε στην αυτοκινητοβιομηχανία και έχει πλέον διορθωθεί. Η εταιρεία ενημέρωσε τον Zveare ότι δεν εντόπισε ύποπτη πρόσβαση στην πλατφόρμα της, πέρα από τις ενέργειες που πραγματοποίησε ο ίδιος στο πλαίσιο της έρευνάς του.

Το περιστατικό δεν φαίνεται να έχει επηρεάσει πελάτες, αποτελεί όμως ακόμη μία υπενθύμιση ότι όσο τα αυτοκίνητα αποκτούν περισσότερες συνδεδεμένες λειτουργίες, τόσο αυξάνονται και οι απαιτήσεις για την προστασία των ψηφιακών τους συστημάτων.

Με πληροφορίες από Road & Track

Διαβάστε Επίσης

Διαβάστε Επίσης

Διαβάστε Επίσης

Best of Network