19-летний Дэвид Коломбо, который в начале января смог взломать 25 электромобилей Tesla в нескольких странах мира, рассказал о том, как ему удалось провести масштабную хакерскую атаку. Всему виной брешь в TeslaMate — стороннем инструменте, который отслеживает все данные автомобиля для дальнейшей диагностики.
Юноша из Германии впервые сообщил об уязвимости в Twitter в начале месяца. Тогда он решил не раскрывать подробности атаки и подождать, пока ошибки в системе не будут исправлены.
Обнаруженная уязвимость позволила ему удаленно получить доступ к некоторым ключевым функциям Tesla, включая разблокировку дверей и окон, а также запуск двигателя без ключа. Хакер также похвастался, что может включить музыку, посигналить, а также узнать о местоположении автомобиля и наличии в ней водителя.
Исследователь объяснил, что проблема заключалась в том, что TeslaMate хранила API [программный интерфейс] автомобиля, необходимый для связки автомобиля и программы для диагностики автомобиля, в незашифрованном виде.
«Я думаю, что это [подобная атака] может привести к созданию опасной ситуации на дороге. Например, если хакер поморгает фарами ночью или включит музыку на максимальной громкости, пока водитель находится за рулем», — отметил он.
Впервые Коломбо узнал об уязвимости Tesla в октябре. Впоследствии он обнаружил несколько десятков электрокаров с брешью в системе. Они принадлежали пользователям из 13 стран Европы и Северной Америки, включая США, Канаду, Великобританию и Германию.
TeslaMate выпустили обновление ПО с исправлениями в течение нескольких часов после того, как Коломбо отправил им электронное письмо с описанием проблемы.
Это не первый случай взлома Tesla, и в данном случае использовались уязвимости в ПО, рассказала «Газете.Ru» старший менеджер по развитию бизнеса KasperskyOS Евгения Пономарева.
«Сегодня в большинстве современных автомобилей существует множество разрозненных блоков, взаимодействующих через CAN-шину [система управления электроустройствами машины]. Текущая техническая архитектура и те сложности с кибербезопасностью, которые есть сейчас, могут позволить получить доступ от одного блока к другому. Риск взлома повышается и если автомобиль подключен к сети, так как злоумышленники могут использовать уязвимости как в самой электронике автомобиля, так и в телематической платформе или мобильном приложении, к которому подключен автомобиль», — отметила Пономарева.
Для электромобилей также существует угроза, связанная с самим процессом зарядки, так как нет четкого стандарта по обеспечению кибербезопасности данного процесса. По словам Пономаревой, особенностью является то, что в процессе зарядки идет не только обмен энергией, но и данными. Фактически зарядная станция может стать дополнительной входной точкой в электромобиль. Вопросов по кибербезопасности там тоже «еще очень много».
«Потенциально техническая возможность получить удаленный доступ к системам автомобиля за счет использования уязвимостей в ПО или в беспроводных протоколах связи есть и сегодня. Это связано с тем, что раньше основные усилия автопроизводителей были сконцентрированы на функциональной безопасности. Сложность состоит в том, что у производителей довольно долгий цикл разработки электроники.
Те системы, которые используются в текущих автомобилях, создавались около 5-7 лет назад и не учитывали текущие киберриски.
Безусловно, чтобы минимизировать вероятность инцидента, компании сегодня выпускают обновления, проводят тесты на проникновение и аудиты безопасности, но это не всегда позволяет полностью предотвратить угрозы. Среди известных примеров взлома автомобилей — удаленный взлом Jeep Cherokee, взломы Tesla, инциденты с автомобилями каршеринга Car2Go», — рассказала Пономарева.
Эксперт считает, что необходимо внедрять технологии кибербезопасности и соблюдать требования новой нормативной базы, чтобы автомобильное будущее было безопасным. Она отметила, что существует законодательная база ООН — UNECE WP.29, которая описывает подходы к дизайну электроники. В частности, на начальном этапе должен производиться анализ киберрисков. Далее они должны учитываться при создании электронного блока, чтобы он был безопасным.
«Важно понимать, что у транспортных систем есть своя специфика, и поэтому любые решения по кибербезопасности должны разрабатываться с учетом этой специфики. Нельзя просто взять и поставить антивирус на электронный блок автомобиля. Важно, чтобы о кибербезопасности задумывались уже на этапе проектирования систем», — заключила Пономарева.
Директор по развитию web-технологий Artezio (входит в группу ЛАНИТ) Сергей Матусевич в беседе с «Газетой.Ru» отметил, что масштаб трагедии со взломом Tesla «несколько преувеличен». Он отметил, что все уязвимости удалось устранить, и уровень защиты данных был повышен.
«Но это не значит, что в будущем подключенные к цифровым платформам автомобили станут безопасными и защищенными. На примере Tesla мы наблюдаем трансформацию автомобилей в цифровые системы с множеством датчиков, камер и подключением всей аппаратуры к интернету. Уязвимости могут появляться, как на уровне программного, так и аппаратного обеспечения. Например, с новыми версиями операционной системы, в играх, которые можно запускать на мониторе Tesla и так далее. Вопрос только в том, зачем хакерам доступ к автомобилям. Пока интерес к взлому подобных систем только академический — авто невозможно дистанционно угнать и продать. Прямой выгоды от взлома получить нельзя», — заключил эксперт.
По сообщению сайта Газета.ru