Neseniai aptiktas būdas įsilaužti į Korėjos prekės ženklo „Kia“ automobilius naudojant įprastą transporto priemonės valstybinį numerį. Šį rimtą pažeidžiamumą aptiko nepriklausomi tyrėjai.
Problema slypi pažeidžiamume, susijusiame su „Kia“ klientų portalu, kuris leidžia įsilaužėliams gauti prieigą prie automobilio ir jo sistemų.
Kaip veikia įsilaužimo metodas?
Vienas iš įsilaužėlių, Samas Curry, išsamiai aprašė savo patirtį, įskaitant tai, kaip jam pavyko pasinaudoti „Kia“ portalo pažeidžiamumu. Jis sukūrė specialią programą „KIAtool“, kuri leido jam prašyti duomenų apie konkretų automobilį ir prisijungti prie jo sistemų. Pasak S. Curry, įsilaužti į automobilį užtruko kelias minutes, o jis sugebėjo ne tik atrakinti automobilio duris, bet ir užvesti variklį.
Šio metodo ypatumas tas, kad norint patekti į automobilį, įsilaužėliui užtenka tik automobilio valstybinio numerio. Pagal valstybinį numerį jis gali sužinoti automobilio VIN numerį, o tada, naudodamasis „Kia“ portalu, gauti visišką prieigą prie automobilio.
Svarbu tai, kad įsilaužėlis gali ne tik valdyti automobilį, bet ir surinkti daug privačios informacijos apie vairuotoją, įskaitant jo telefono numerį, namų adresą ir net kelionių istoriją.
„Kia“ atsakas ir kitos problemos
Curry nedelsdamas susisiekė su „Kia“ atstovais ir pažeidžiamumas buvo nedelsiant ištaisytas. Tačiau tai nebuvo vienintelė problema – vėliau jis rado panašų pažeidžiamumą „Toyota“ sistemoje, kuris po pranešimo apie jį taip pat buvo ištaisytas.
Curry pažymėjo, kad daugelis šiuolaikinių automobilių turi panašių sistemos spragų. Tai atveria duris įsilaužėliams, kurie gali ne tik pavogti automobilio savininko asmeninius duomenis, bet ir pavogti automobilį. Kadangi automobiliai vis dažniau tampa daiktų interneto (IoT) dalimi, tokios spragos kelia rimtą grėsmę tiek automobilių, tiek jų savininkų saugumui.
Skaitmeninio saugumo iššūkiai automobiliams
Ši situacija išryškina kibernetinio saugumo svarbą automobilių pramonėje. Automobiliai kasmet tampa vis išmanesni, juose integruojama vis daugiau elektroninių sistemų ir internetinių paslaugų. Tačiau dėl to daugėja ir galimų įsilaužėlių prieigos taškų.
Informacijos ir transporto priemonių valdymo apsauga turėtų būti automobilių gamintojų prioritetas, ypač aplinkoje, kurioje skaitmeninės transporto priemonių sistemos gali būti naudojamos įsilaužimams ir vagystėms. Nors tokius pažeidžiamumus galima pašalinti atnaujinant programinę įrangą, tokie incidentai kaip šis atskleidžia esamas saugumo spragas.
Man neįdomūs tokie “sportai”.