Ένα σοβαρό κενό ασφαλείας σε σύστημα μεγάλης αυτοκινητοβιομηχανίας θα μπορούσε να δώσει σε χάκερ τη δυνατότητα να ξεκλειδώνουν αυτοκίνητα από απόσταση, να βλέπουν πού βρίσκονται και να αποκτούν πρόσβαση σε προσωπικά και οικονομικά στοιχεία των ιδιοκτητών τους.

Το κενό ασφαλείας παρουσιάστηκε στο συνέδριο κυβερνοασφάλειας DEF CON στο Λας Βέγκας από τον ερευνητή Eaton Zveare, ο οποίος εργάζεται στην εταιρεία λογισμικού Harness. Την υπόθεση έφερε αρχικά στη δημοσιότητα το TechCrunch.
Ο Zveare δεν αποκάλυψε ποια αυτοκινητοβιομηχανία επηρεαζόταν, περιοριζόμενος να αναφέρει ότι πρόκειται για έναν ιδιαίτερα γνωστό όμιλο, ο οποίος διαθέτει στην αγορά δημοφιλείς επιμέρους μάρκες. Αυτό σημαίνει ότι, θεωρητικά, το πρόβλημα θα μπορούσε να αφορά μεγάλο αριθμό αυτοκινήτων, εφόσον η ευπάθεια είχε εντοπιστεί και αξιοποιηθεί από κάποιον με κακόβουλες προθέσεις.

Το πρόβλημα βρισκόταν στη διαδικτυακή πλατφόρμα που χρησιμοποιούν οι επίσημοι αντιπρόσωποι της εταιρείας. Σύμφωνα με τον ερευνητή, αδυναμίες στο σύστημα σύνδεσης του επέτρεψαν να παρακάμψει πλήρως την ταυτοποίηση και να δημιουργήσει έναν λογαριασμό με πλήρη δικαιώματα διαχειριστή.
Μέσω της πλατφόρμας μπορούσε να χρησιμοποιήσει το εργαλείο αναζήτησης χρηστών και να συνδέσει οποιοδήποτε όχημα με έναν νέο λογαριασμό στην εφαρμογή της αυτοκινητοβιομηχανίας. Οι εφαρμογές αυτού του είδους προσφέρουν συνήθως λειτουργίες όπως απομακρυσμένο κλείδωμα και ξεκλείδωμα, εκκίνηση του κινητήρα και εντοπισμό της θέσης του αυτοκινήτου.

Για την αναζήτηση ενός ιδιοκτήτη αρκούσαν το όνομα και το επώνυμό του. Ακόμη όμως και χωρίς αυτά τα στοιχεία, ο αριθμός πλαισίου του οχήματος, γνωστός ως VIN, μπορούσε να χρησιμοποιηθεί για την εμφάνιση των δεδομένων του κατόχου μέσα στο σύστημα.
Ο Zveare επιβεβαίωσε στην πράξη την ευπάθεια χρησιμοποιώντας το αυτοκίνητο ενός φίλου του. Μετέφερε τον έλεγχο του λογαριασμού της εφαρμογής στο δικό του προφίλ, αποκτώντας τις ίδιες δυνατότητες που είχε προηγουμένως ο πραγματικός ιδιοκτήτης.
Ο ερευνητής ξεκαθάρισε ότι δεν δοκίμασε εάν θα μπορούσε να οδηγήσει ή να απομακρύνει το όχημα. Ωστόσο, το επίπεδο πρόσβασης που είχε αποκτήσει θα μπορούσε να εκθέσει προσωπικά αντικείμενα, δεδομένα και πληροφορίες των χρηστών.
Η ευπάθεια αναφέρθηκε στην αυτοκινητοβιομηχανία και έχει πλέον διορθωθεί. Η εταιρεία ενημέρωσε τον Zveare ότι δεν εντόπισε ύποπτη πρόσβαση στην πλατφόρμα της, πέρα από τις ενέργειες που πραγματοποίησε ο ίδιος στο πλαίσιο της έρευνάς του.
Το περιστατικό δεν φαίνεται να έχει επηρεάσει πελάτες, αποτελεί όμως ακόμη μία υπενθύμιση ότι όσο τα αυτοκίνητα αποκτούν περισσότερες συνδεδεμένες λειτουργίες, τόσο αυξάνονται και οι απαιτήσεις για την προστασία των ψηφιακών τους συστημάτων.
Με πληροφορίες από Road & Track



