Ανοιχτά ζητήματα ασφαλείας στα συνδεδεμένα αυτοκίνητα

Έρευνες - Μελέτες

22 Φεβρουαρίου 2017

Μπορεί να οδηγούν την αυτοκίνηση στην επόμενη ημέρα, ωστόσο, η χρήση τους μένει να αντιμετωπίσει ακόμη πολλά ανοιχτά ζητήματα ασφάλειας. Ο λόγος για τα συνδεδεμένα αυτοκίνητα, που σύμφωνα με έρευνα της Kaspersky Lab εγείρουν μια σειρά θεμάτων, που μπορεί δυνητικά να επιτρέψουν σε εγκληματίες να προξενήσουν σημαντική ζημία στους ιδιοκτήτες τους.

Τρωτά σημεία στην ασφάλεια εφαρμογών για τον απομακρυσμένο έλεγχο αυτοκινήτων, εντοπίζει η Kaspersky LabΟι ερευνητές της εταιρείας εξέτασαν την ασφάλεια εφαρμογών για τον απομακρυσμένο έλεγχο αυτοκινήτων από πολλούς διάσημους κατασκευαστές αυτοκινήτων. Στόχος ήταν να διερευνήσουν αν οι εξαιρετικά χρήσιμες λειτουργίες των συνδεδεμένων οχημάτων, είναι διασφαλισμένες απέναντι στον κίνδυνο των ψηφιακών επιθέσεων. Το κύριο συμπέρασμα της έρευνας τους ήταν ότι, στη σημερινή τους κατάσταση, οι εφαρμογές για τα συνδεδεμένα αυτοκίνητα δεν είναι έτοιμες να αντιμετωπίσουν τις επιθέσεις κακόβουλου λογισμικού.

Όπως εξηγεί η εταιρεία, κατά τη διάρκεια των τελευταίων ετών, έχει ξεκινήσει η ενεργή σύνδεση των αυτοκινήτων στο Διαδίκτυο. Η συνδεσιμότητα περιλαμβάνει όχι μόνο τα συστήματα ενημέρωσης και ψυχαγωγίας τους, αλλά και τα κρίσιμα συστήματα του οχήματος, όπως κλειδαριές θυρών και σύστημα ανάφλεξης, τα οποία είναι, πλέον, προσβάσιμα στο Διαδίκτυο. Με τη βοήθεια των mobile εφαρμογών, είναι πλέον δυνατόν να ληφθούν οι συντεταγμένες της θέσης του οχήματος, καθώς και η διαδρομή του, αλλά και το άνοιγμα των θυρών, η εκκίνηση του κινητήρα και ο έλεγχος πρόσθετων συσκευών στο εσωτερικό του αυτοκινήτου. Προκειμένου να το ανακαλύψουν, οι ερευνητές της Kaspersky Lab εξέτασαν επτά εφαρμογές απομακρυσμένου ελέγχου αυτοκινήτων, που αναπτύχθηκαν από τους μεγαλύτερους κατασκευαστές αυτοκινήτων και τις οποίες, σύμφωνα με στατιστικά στοιχεία του Google Play, έχουν “κατεβάσει” χρήστες δεκάδες χιλιάδες φορές και σε ορισμένες περιπτώσεις, έως και πέντε εκατομμύρια φορές. Η έρευνα ανακάλυψε ότι η κάθε μία από τις εξεταζόμενες εφαρμογές περιείχε διάφορα ζητήματα ασφαλείας. 

Θέματα ασφαλείας
Ο κατάλογος των θεμάτων ασφαλείας, που ανακαλύφθηκαν, περιλαμβάνει μια σειρά από τρωτά σημεία, όπως η απουσία άμυνας απέναντι σε εφαρμογές αντίστροφης μηχανικής. Ως αποτέλεσμα, οι κακόβουλοι χρήστες μπορούν να κατανοήσουν πώς λειτουργεί η εφαρμογή και να εντοπίσουν μια ευπάθεια, που θα τους επιτρέψει να αποκτήσουν πρόσβαση σε υποδομές από την πλευρά του server ή σε σύστημα πολυμέσων του αυτοκινήτου.

Άλλο ζήτημα, σύμφωνα με την Kaspersky Lab, συνιστά η απουσία ελέγχου ακεραιότητας κώδικα, ο οποίος είναι σημαντικός, διότι επιτρέπει στους εγκληματίες να ενσωματώσουν δικό τους κώδικα στην εφαρμογή και να αντικαταστήσουν το αρχικό πρόγραμμα με ένα πλαστό. Επίσης, πρόβλημα συνιστά η απουσία τεχνικών ανίχνευσης “rooting”, με τα δικαιώματα “root” παρέχουν σε Trojans σχεδόν απεριόριστες δυνατότητες και αφήνουν την εφαρμογή ανυπεράσπιστη.

Επίσης, οι ειδικοί διαπίστωσαν έλλειψη προστασίας έναντι των τεχνικών επικάλυψης εφαρμογών, γεγονός που βοηθά τις κακόβουλες εφαρμογές να προβάλλουν παράθυρα phishing και να κλέβουν τα στοιχεία σύνδεσης των χρηστών.

Κωδικοί πρόσβασης
Άλλη μια αδυναμία είναι η αποθήκευση των στοιχείων σύνδεσης και των κωδικών πρόσβασης σε μορφή απλού κειμένου. Χρησιμοποιώντας αυτήν την αδυναμία, ένας εγκληματίας μπορεί να κλέψει τα δεδομένα των χρηστών σχετικά εύκολα. Μετά την επιτυχή παραβίαση, o εισβολέας μπορεί να αποκτήσει τον έλεγχο του αυτοκινήτου, να ξεκλειδώσει τις πόρτες, να απενεργοποιήσει το συναγερμό ασφαλείας και θεωρητικά, να κλέψει το όχημα.

Σε κάθε περίπτωση, ο φορέας της επίθεσης θα πρέπει να πραγματοποιήσει κάποιες επιπλέον προετοιμασίες, όπως να δελεάσει τους χρήστες των εφαρμογών, ώστε να εγκαταστήσουν ειδικά διαμορφωμένες κακόβουλες εφαρμογές, οι οποίες στη συνέχεια θα εισβάλουν στη συσκευή και θα αποκτήσουν πρόσβαση στην εφαρμογή του αυτοκινήτου.

Ωστόσο, όπως οι ειδικοί της Kaspersky Lab έχουν συμπεράνει από την έρευνα, σε πολλές άλλες κακόβουλες εφαρμογές που στοχεύουν σε online τραπεζικές  συναλλαγές και σε άλλες σημαντικές πληροφορίες, αυτό είναι απίθανο να αποτελεί  πρόβλημα για τους εγκληματίες με εμπειρία σε τεχνικές κοινωνικής μηχανικής, αν αποφασίσουν να στραφούν ενάντια στους ιδιοκτήτες των συνδεδεμένων αυτοκινήτων.

ΙΑΝΟΥΑΡΙΟΣ - ΜΑΡΤΙΟΣ 2016

ΤΕΥΧΟΣ

43

Α. Τσίπρας, Κ. Μητσοτάκης, EITO, Cisco, Accenture, PwC, IDC, WEF, Focus Bari

ΙΑΝΟΥΑΡΙΟΣ 2017

ΤΕΥΧΟΣ

12

Έρευνα για την Αγορά Τεχνολογιών Πληροφορικής & Επικοινωνιών 2016/ 2017 UPDATE

Αναζητήστε εδώ

Διαθέσιμες θέσεις εργασίας στον κλάδο Tεχνολογιών Πληροφορικής και Επικοινωνιών

Ευκαιρίες καριέρας

ΔΙΑΒΑΣΤΕ ΑΚΟΜΑ