Μια από τις πιο ανησυχητικές προειδοποιήσεις για το μέλλον της συνδεδεμένης αυτοκίνησης ήρθε από το Security Analyst Summit 2025, όπου η Kaspersky αποκάλυψε την ύπαρξη σοβαρού κενού ασφαλείας στην υποδομή γνωστής αυτοκινητοβιομηχανίας.

Η ευπάθεια, που εντοπίστηκε σε εφαρμογή εξωτερικού συνεργάτη του κατασκευαστή, θα μπορούσε να επιτρέψει μη εξουσιοδοτημένη πρόσβαση σε όλα τα συνδεδεμένα οχήματα του brand, με συνέπειες που φτάνουν έως και τη σωματική ασφάλεια των οδηγών και των επιβατών.

Ευπάθεια zero-day, που θα μπορούσε να επιτρέψει σε επιτιθέμενους να ελέγξουν εξ αποστάσεως κρίσιμες λειτουργίες οχημάτων

Το περιστατικό αποτελεί υπενθύμιση ότι, όσο τα αυτοκίνητα μετατρέπονται σε «κινητούς υπολογιστές», οι απειλές στον κυβερνοχώρο μεταφέρονται στον δρόμο. Σύμφωνα με τα ευρήματα, η ευπάθεια ήταν τύπου zero-day SQL injection σε μια wiki εφαρμογή, η οποία έδινε στους ερευνητές της Kaspersky τη δυνατότητα να αποκτήσουν πρόσβαση σε λίστες χρηστών και κωδικών πρόσβασης του εξωτερικού συνεργάτη.

Η παραβίαση αποκάλυψε στοιχεία του συστήματος παρακολούθησης (issue tracking system), όπου υπήρχαν ευαίσθητες πληροφορίες για τη διαμόρφωση της υποδομής τηλεματικής του κατασκευαστή. Με αυτόν τον τρόπο, αποκτήθηκε έμμεση πρόσβαση σε server τηλεματικής των οχημάτων - μια είσοδος, που άνοιξε το δρόμο για περαιτέρω εκμετάλλευση.

Η επίθεση δεν σταματούσε στην πλευρά του συνεργάτη. Οι ερευνητές της Kaspersky εντόπισαν, επίσης, λανθασμένη ρύθμιση firewall, που άφηνε εκτεθειμένους εσωτερικούς servers του κατασκευαστή. Αξιοποιώντας διαπιστευτήρια που είχαν ήδη αποκτήσει, κατάφεραν να εισέλθουν στο σύστημα αρχείων του server και να εντοπίσουν νέα στοιχεία, που παρείχαν πλήρη έλεγχο στην υποδομή τηλεματικής.

Τροποποιημένο λογισμικό

Το πιο ανησυχητικό εύρημα ήταν μια εντολή ενημέρωσης firmware, που επέτρεπε την εγκατάσταση τροποποιημένου λογισμικού στη Μονάδα Ελέγχου Τηλεματικής (Telematics Control Unit - TCU). Μέσω αυτής, οι ερευνητές απέκτησαν πρόσβαση στο δίκτυο CAN (Controller Area Network) - το «νευρικό σύστημα» του αυτοκινήτου, που συνδέει κινητήρα, αισθητήρες, φρένα και κιβώτιο ταχυτήτων. Σε πραγματικές συνθήκες, αυτό θα μπορούσε να επιτρέψει παρέμβαση σε κρίσιμες λειτουργίες, όπως η αλλαγή ταχυτήτων ή ακόμη και το σβήσιμο του κινητήρα εν κινήσει.

«Τα κενά ασφαλείας προκύπτουν από ζητήματα, που είναι ιδιαίτερα συνηθισμένα στην αυτοκινητοβιομηχανία: δημόσια προσβάσιμες διαδικτυακές υπηρεσίες, αδύναμοι κωδικοί πρόσβασης, έλλειψη πιστοποίησης δύο παραγόντων (2FA) και μη κρυπτογραφημένη αποθήκευση ευαίσθητων δεδομένων», εξηγεί η Kaspersky. Και προσθέτει: «Η συγκεκριμένη παραβίαση δείχνει πώς ένα μόνο αδύναμο σημείο στην υποδομή ενός συνεργάτη μπορεί να οδηγήσει σε πλήρη παραβίαση όλων των συνδεδεμένων οχημάτων. Η βιομηχανία οφείλει να θέσει σε απόλυτη προτεραιότητα τις ισχυρές πρακτικές κυβερνοασφάλειας, ειδικά όταν πρόκειται για συστήματα τρίτων».

Η επόμενη μέρα για την αυτοκινητοβιομηχανία

Η Kaspersky, με βάση τα ευρήματα, εξέδωσε σαφείς συστάσεις προς τις εταιρείες του κλάδου. Ζητά από τους συνεργάτες των κατασκευαστών να περιορίσουν την πρόσβαση των υπηρεσιών στο διαδίκτυο μέσω VPN, να εφαρμόζουν ισχυρές πολιτικές κωδικών και 2FA, να κρυπτογραφούν ευαίσθητα δεδομένα και να ενσωματώνουν συστήματα SIEM για συνεχή παρακολούθηση.

Αντίστοιχα, προς τους κατασκευαστές αυτοκινήτων, προτείνει περιορισμό της πρόσβασης στην πλατφόρμα τηλεματικής, χρήση allowlists για τις δικτυακές αλληλεπιδράσεις, απενεργοποίηση ελέγχου SSH με κωδικό, και ελαχιστοποίηση δικαιωμάτων πρόσβασης στα κρίσιμα συστήματα.