Νέα “ήθη και έθιμα” στο χώρο του ψηφιακού εγκλήματος τείνει να διαμορφώσει το λεγόμενο internet of the things και εν προκειμένω τα διασυνδεδεμένα αυτοκίνητα. Πρωτοποριακή στο είδος της έρευνα έδειξε ότι τα προσωπικά δεδομένα, οι ενημερώσεις λογισμικού και οι mobile εφαρμογές των διασυνδεδεμένων αυτοκινήτων, αποτελούν πιθανούς στόχους για τους ψηφιακούς εγκληματίες.



Την πρώτη ετήσια μελέτη για τα Διασυνδεδεμένα Αυτοκίνητα μελέτη διενήργησαν η Kaspersky Lab και το Interactive Advertising Bureau (IAB) της Ισπανίας, με αντικείμενο, μεταξύ άλλων, και τα ζητήματα ασφάλειας που εγείρονται από τη σύνδεση των αυτοκίνητων στο Διαδίκτυο.

“Τα διασυνδεδεμένα αυτοκίνητα μπορούν να ανοίξουν την πόρτα σε απειλές που υπάρχουν εδώ και καιρό στον κόσμο των PC και των smartphone . Για παράδειγμα, οι ιδιοκτήτες των οχημάτων μπορεί να ανακαλύψουν ότι οι κωδικοί τους έχουν κλαπεί. Με αυτό τον τρόπο, η θέση του οχήματός τους θα μπορούσε να εντοπιστεί, ενώ οι πόρτες του θα μπορούσαν να ξεκλειδωθούν εξ αποστάσεως ” σχολιάζουν οι συντάκτες της μελέτης.

Η έκθεση, η οποία αναλύει 21 διαφορετικά μοντέλα αυτοκινήτων, καταλήγει ότι υπάρχει μεγάλος κατακερματισμός στους τομείς των λειτουργικών συστημάτων, των λειτουργιών σύνδεσης και των εφαρμογών. Έτερη διαπίστωση είναι ότι οι δωρεάν υπηρεσίες έχουν χρονικούς περιορισμούς: πολλοί κατασκευαστές προσφέρουν δωρεάν συνδρομή μόνο για ορισμένο χρονικό διάστημα. Επιπλέον, διαπιστώνονται προβλήματα κάλυψης, καθώς πολλές online υπηρεσίες χρειάζονται σύνδεση 3G, τη στιγμή που, όπως αποδεικνύεται στην πράξη, ορισμένοι χρήστες θα πρέπει να πληρώσουν για επιπλέον δεδομένα.

Φορείς επίθεσης
Η ανάλυση της Kaspersky Lab εντόπισε αρκετούς πιθανούς φορείς ψηφιακών επιθέσεων:

- Κλεμμένα Στοιχεία Ταυτότητας: Η κλοπή των στοιχείων που απαιτούνται για την απόκτηση πρόσβασης στην ιστοσελίδα της BMW - με τη χρήση γνωστών μέσων, όπως το phishing, τα keyloggers ή η κοινωνική μηχανική - θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση τρίτων στις πληροφορίες του χρήστη και στη συνέχεια σε πρόσβαση και στο ίδιο το όχημα. Είναι ακόμα δυνατό κάποιος να εγκαταστήσει μια mobile εφαρμογή με τα ίδια στοιχεία πρόσβασης, η οποία θα μπορούσε να ενεργοποιήσει απομακρυσμένες υπηρεσίες πριν την έναρξη της λειτουργία του οχήματος.

- Mobile Εφαρμογές: Αν ενεργοποιηθούν οι mobile υπηρεσίες που επιτρέπουν το ξεκλείδωμα ενός αυτοκινήτου εξ’ αποστάσεως, στην ουσία δημιουργείται ένα νέο σετ κλειδιών. Αν η εφαρμογή δεν είναι προστατευμένη, οποιοσδήποτε μπορεί να αποκτήσει πρόσβαση στο αυτοκίνητο, αν κλέψει το τηλέφωνο του ιδιοκτήτη του. Με τη χρήση του κλεμμένου τηλεφώνου, ένας εγκληματίας θα μπορούσε να αλλάξει τη βάση δεδομένων των εφαρμογών και να παρακάμψει κάθε έλεγχο ταυτότητας που απαιτεί την εισαγωγή κωδικού PIN, καθιστώντας την ενεργοποίηση απομακρυσμένων υπηρεσιών εξαιρετικά εύκολη.

- Ενημερώσεις: Η αναβάθμιση των bluetooth drivers πραγματοποιείται με το “κατέβασμα” ενός αρχείου από τον ιστότοπο της BMW και την εγκατάστασή του μέσω USB. Αυτό το αρχείο δεν είναι κρυπτογραφημένο, ενώ διαθέτει πολλές πληροφορίες σχετικά με τα εσωτερικά συστήματα που “τρέχουν” στο όχημα. Έτσι, κάποιος εγκληματίας θα μπορούσε να αποκτήσει δυνατότητα πρόσβασης στο αντίστοιχο περιβάλλον πληροφορικής, καθώς και να το τροποποιήσει ώστε να “τρέξει” κάποιον κακόβουλο κωδικό.

- Επικοινωνίες: Ορισμένες λειτουργίες επικοινωνούν με την κάρτα SIM στο εσωτερικό του οχήματος μέσω SMS. Η παραβίαση αυτού του καναλιού επικοινωνίας καθιστά δυνατή την αποστολή “ψεύτικων” οδηγιών, ανάλογα με το επίπεδο κρυπτογράφησης που έχει υιοθετήσει ο διαχειριστής. Στη χειρότερη περίπτωση, ένας εγκληματίας θα μπορούσε να αντικαταστήσει τις επικοινωνίες της BMW με δικές του οδηγίες και υπηρεσίες.

Νατάσα Φραγκούλη