Τα προσωπικά δεδομένα, οι ενημερώσεις λογισμικού και οι mobile εφαρμογές για τα διασυνδεδεμένα αυτοκίνητα αποτελούν πιθανούς στόχους για τους ψηφιακούς εγκληματίες
Η Kaspersky Lab και το Interactive Advertising Bureau (IAB) της Ισπανίας παρουσίασαν την Πρώτη Ετήσια Μελέτη για τα Διασυνδεδεμένα Αυτοκίνητα, μια πρωτοποριακή στο είδος της έρευνα.
Βασικός σκοπός της μελέτης είναι να προσφέρει μια συνολική επισκόπηση της αγοράς των διασυνδεδεμένων αυτοκινήτων, συνδυάζοντας όλες τις διαθέσιμες πληροφορίες, ώστε να προσφέρει απαντήσεις σε σημαντικά ερωτήματα. Επιπλέον, η έρευνα επιχειρεί να κοιτάξει συνολικότερα το οικοσύστημα λογισμικού που προσφέρουν σήμερα οι κατασκευαστές αυτοκινήτων, το οποίο είναι ιδιαίτερα κατακερματισμένο. Ο Vicente Diaz, Principal Security Researcher της Kaspersky Lab, ήταν υπεύθυνος για το κομμάτι της έρευνας που αφορούσε τα πιθανά ζητήματα ασφάλειας που εγείρονται από τη σύνδεση των αυτοκίνητων στο Διαδίκτυο.
Οι οδηγοί δεν μπορούν να αγνοήσουν πλέον τις ανησυχίες για την ασφάλεια των επικοινωνιών και των Διαδικτυακών υπηρεσιών που συμπεριλαμβάνονται στη νέα γενιά των διασυνδεδεμένων αυτοκινήτων. Σήμερα, τα αυτοκίνητα δεν διαθέτουν μόνο ηλεκτρονικά βοηθήματα για την οδήγηση, αλλά προσφέρουν και δυνατότητες πρόσβασης σε κοινωνικά δίκτυα και λογαριασμούς email, σύνδεσης με smartphone, υπολογισμού διαδρομής κλπ. Οι τεχνολογίες αυτές προσφέρουν μεγάλα πλεονεκτήματα στους οδηγούς, φέρνουν, όμως, και νέους κινδύνους για τους χρήστες. ΓιΆ αυτό είναι απαραίτητη η ανάλυση των παραγόντων που θα μπορούσαν να οδηγήσουν σε ψηφιακές επιθέσεις και ατυχήματα.
Τα προσωπικά δεδομένα, οι ενημερώσεις και οι εφαρμογές των smartphone για αυτά τα αυτοκίνητα θα μπορούσαν να αποτελέσουν τρεις ξεχωριστούς φορείς επίθεσης για τους ψηφιακούς εγκληματίες. «Τα διασυνδεδεμένα αυτοκίνητα μπορούν να ανοίξουν την πόρτα σε απειλές που υπάρχουν εδώ και καιρό στον κόσμο των PC και των smartphone. Για παράδειγμα, οι ιδιοκτήτες των οχημάτων μπορεί να ανακαλύψουν ότι οι κωδικοί τους έχουν κλαπεί. Με αυτό τον τρόπο, η θέση του οχήματός τους θα μπορούσε να εντοπιστεί, ενώ οι πόρτες του θα μπορούσαν να ξεκλειδωθούν εξ αποστάσεως. Τα ζητήματα της προστασίας των προσωπικών δεδομένων είναι ζωτικής σημασίας και οι σημερινοί οδηγοί οφείλουν να έχουν επίγνωση των νέων κινδύνων που δεν υπήρχαν προηγουμένως», δήλωσε ο κ. Diaz.
Η ανάλυση της Kaspersky Lab, η οποία βασίστηκε στη μελέτη του συστήματος ConnectedDrive της BMW, εντόπισε αρκετούς πιθανούς φορείς ψηφιακών επιθέσεων:
Κλεμμένα Στοιχεία Ταυτότητας: Η κλοπή των στοιχείων που απαιτούνται για την απόκτηση πρόσβασης στην ιστοσελίδα της BMW – με τη χρήση γνωστών μέσων, όπως το phishing, τα keyloggers ή η κοινωνική μηχανική – θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση τρίτων στις πληροφορίες του χρήστη και στη συνέχεια σε πρόσβαση και στο ίδιο το όχημα. Είναι ακόμα δυνατό κάποιος να εγκαταστήσει μια mobile εφαρμογή με τα ίδια στοιχεία πρόσβασης, η οποία θα μπορούσε να ενεργοποιήσει απομακρυσμένες υπηρεσίες πριν την έναρξη της λειτουργία του οχήματος.
Mobile Εφαρμογές: Αν ενεργοποιηθούν οι mobile υπηρεσίες που επιτρέπουν το ξεκλείδωμα ενός αυτοκινήτου εξΆ αποστάσεως, στην ουσία δημιουργείται ένα νέο σετ κλειδιών. Αν η εφαρμογή δεν είναι προστατευμένη, οποιοσδήποτε μπορεί να αποκτήσει πρόσβαση στο αυτοκίνητο, αν κλέψει το τηλέφωνο του ιδιοκτήτη του. Με τη χρήση του κλεμμένου τηλεφώνου, ένας εγκληματίας θα μπορούσε να αλλάξει τη βάση δεδομένων των εφαρμογών και να παρακάμψει κάθε έλεγχο ταυτότητας που απαιτεί την εισαγωγή κωδικού PIN, καθιστώντας την ενεργοποίηση απομακρυσμένων υπηρεσιών εξαιρετικά εύκολη.
Ενημερώσεις: Η αναβάθμιση των bluetooth drivers πραγματοποιείται με το «κατέβασμα» ενός αρχείου από τον ιστότοπο της BMW και την εγκατάστασή του μέσω USB. Αυτό το αρχείο δεν είναι κρυπτογραφημένο, ενώ διαθέτει πολλές πληροφορίες σχετικά με τα εσωτερικά συστήματα που «τρέχουν» στο όχημα. Έτσι, κάποιος εγκληματίας θα μπορούσε να αποκτήσει δυνατότητα πρόσβασης στο αντίστοιχο περιβάλλον πληροφορικής, καθώς και να το τροποποιήσει ώστε να «τρέξει» κάποιον κακόβουλο κωδικό.
Επικοινωνίες: Ορισμένες λειτουργίες επικοινωνούν με την κάρτα SIM στο εσωτερικό του οχήματος μέσω SMS. Η παραβίαση αυτού του καναλιού επικοινωνίας καθιστά δυνατή την αποστολή «ψεύτικων» οδηγιών, ανάλογα με το επίπεδο κρυπτογράφησης που έχει υιοθετήσει ο διαχειριστής. Στη χειρότερη περίπτωση, ένας εγκληματίας θα μπορούσε να αντικαταστήσει τις επικοινωνίες της BMW με δικές του οδηγίες και υπηρεσίες.
Η μελέτη εξετάζει ακόμα τη συνδεσιμότητα με το Διαδίκτυο και τις κορυφαίες εφαρμογές στον ισπανικό κλάδο του αυτοκινήτου. Επιπλέον, αναλύει τα επιχειρηματικά μοντέλα και τις μελλοντικές τάσεις για τις πλατφόρμες συνδεσιμότητας. Η έκθεση, η οποία αναλύει 21 διαφορετικά μοντέλα αυτοκινήτων, έχει καταλήξει στα εξής συμπεράσματα:
- Υπάρχει μεγάλος κατακερματισμός στους τομείς των λειτουργικών συστημάτων, των λειτουργιών σύνδεσης και των εφαρμογών.
- Οι δωρεάν υπηρεσίες έχουν χρονικούς περιορισμούς: πολλοί κατασκευαστές προσφέρουν δωρεάν συνδρομή μόνο για ορισμένο χρονικό διάστημα
- Υπάρχουν προβλήματα κάλυψης, καθώς πολλές online υπηρεσίες χρειάζονται σύνδεση 3G
- Χρήση δεδομένων: Ορισμένοι χρήστες θα πρέπει να πληρώσουν για επιπλέον δεδομένα
- Φωνητικοί οδηγοί: Χρησιμοποιείται από τα περισσότερα μοντέλα, καθώς είναι ένας από τους ασφαλέστερους τρόπους για τον έλεγχο της συνδεσιμότητας.
Η μελέτη πραγματοποιήθηκε από το IAB Ισπανίας σε συνεργασία με την Applicantes, τη Motor.com και την Kaspersky Lab.