Avtomobili z internetom so postali resničnost ali so tudi varni?
10. julij 2014
Zasebnost, posodobitve programske opreme in avtomobilom namenjene mobilne aplikacije v avtomobilih z internetom so tri področja, na katerih bi lahko spletni kriminalci izvajali napade.
Kaspersky Lab in vodilno špansko združenje oglaševalskih, marketinških in komunikacijskih podjetij IAB sta objavila Prvo letno študijo o avtomobilih z internetom, ki je pionirski primerek raziskave.
Glavni cilj študije je omogočanje pregleda trga avtomobilov z internetom, ki združuje vse pomembne informacije za odgovore na pereča vprašanja ter prinaša nekaj enotnosti v zelo razdrobljen ekosistem programske opreme, ki ga trenutno ponujajo proizvajalci. Vicente Diaz, glavni raziskovalec varnosti v Kaspersky Labu, je bil odgovoren za razvoj koncepta za analizo varnosti povezovanja teh avtomobilov z internetom.
Vozniki ne morejo več zanemariti varnostnih vprašanj o komunikaciji in spletnih storitvah, vključenih v novo generacijo »avtomobilov z internetom«. To predstavlja več kot zgolj pomoč pri varnem parkiranju avta, zdaj združuje dostop do družbenih omrežij, elektronske pošte, povezave s pametnim telefonom, preračunavanje poti, avtomobilske aplikacije ipd. Te tehnologije ponujajo velike prednosti za voznike, hkrati pa prinašajo nova tveganja za dandanašnje voznike. Zato je ključno, da analiziramo različne vektorje, ki bi lahko pripeljali do spletnih napadov, nesreč ali celo goljufivega vzdrževanja vozila.
Zasebnost, posodabljanje in aplikacije za pametne telefone v teh avtomobilih bi se lahko spreobrnile v tri različne vektorje za napad spletnih kriminalcev. »Avtomobili z internetom odpirajo vrata za grožnje, ki že dolgo obstajajo v svetu osebnih računalnikov in pametnih telefonov. Na primer, lastniki avtomobilov z internetom bi lahko ugotovili, da so bila njihova gesla ukradena. To bi omogočilo identifikacijo lokacije vozila in odklepanje vrat preko oddaljenega dostopa. Pomisleki glede zasebnosti so ključnega pomena in vozniki danes se morajo zavedati novih tveganj, ki nikoli prej niso obstajala,« je povedal Diaz
Koncept Kaspersky Laba, ki temelji na analizi sistema BMW ConnectedDrive je odkril nekaj potencialnih vektorjev za napade:
- Ukradene poverilnice: Kraja poverilnic za dostop do BMW-jeve spletne strani – z uporabo že znanih sredstev, kot so zvabljanje, beležniki tipkanja ali socialni inženiring – bi lahko pomenila neavtoriziran dostop tretjih oseb do informacij o uporabniku in do avtomobila. Od tukaj je mogoče namestiti mobilno aplikacijo z enakimi poverilnicami in potencialno omogočiti oddaljeno odklepanje in upravljanje avtomobila.
- Mobilna aplikacija: Če aktivirate mobilne storitve za oddaljeno odpiranje, ustvarite nov ključ do vašega avtomobila. Če aplikacija ni zaščitena, lahko vsakdo, ki vam ukrade telefon, dobi dostop do avtomobila. Z ukradenim telefonom bi bilo mogoče spremeniti aplikacijo z bazo podatkov in obiti kakršnokoli potrditev s PIN kodo ter olajšati delo spletnim kriminalcem pri oddaljenih storitvah.
- Posodobitve: Bluetooth gonilniki se posodabljajo z nalaganjem datotek iz BMW-jeve spletne strani in nameščanjem preko USB. Ta datoteka ni šifrirana ali podpisana in v njej so številne informacije o internem sistemu na vozilu. To bi potencialnemu napadalcu dalo dostop do ciljanega okolja in bi lahko bilo modificirano za zagon zlonamernih kod.
- Komunikacije: Nekatere funkcije komunicirajo s SIM kartico v vozilu preko SMS-sporočil. Vdor v ta komunikacijski kanal omogoča pošiljanje »ponarejenih« navodil. V najhujšem primeru, bi lahko kriminalec nadomestil BMW-jeve komunikacije s svojimi navodili in storitvami.
Študija se osredotoča tudi na povezanost v omrežje in vodilne aplikacije v španski avtomobilski industriji ter raziskuje poslovne modele in prihodnje trende na trgu na področju platform za vzpostavljanje povezave. Poročilo analizira 21 različnih modelov vozil, glavni izsledki pa so:
- Operacijski sistemi in načini povezovanja ter aplikacije so visoko razdrobljeni
- Brezplačne storitve so časovno omejene: številni proizvajalci ponujajo brezplačno naročnino le za določen čas.
- Težave s pokritostjo: številne spletne storitve zahtevajo dostop do 3G omrežja
- Uporaba podatkov: nekateri uporabniki morajo plačati za dodatne podatke
- Glasovni asistent: večina modelov jih uporablja, saj je to eden varnejših načinov za nadzor povezave
Raziskavo je izvedla IAB Spain s pomočjo Applicantes, Motor.com tin Kaspersky Lab-om.
O IAB Spain
IAB Spain (Interactive Adverstising Bureau) je špansko združenje oglaševalskih, marketinških in komunikacijskih podjetij. Z več kot 200 člani predstavlja 95 % sektorja v Španiji in je edino združenje, ki vključuje tudi medijske agencije, digitalne agencije, oglaševalce, spletne strani, družbena omrežja, bloge, mreže za oglase, brskalnike, svetovalce, TV postaje, radijske postaje, izdajatelje, marketing po elektronski pošti, mobilne storitve, IT dobavitelje, digitalne podpise, vpoglede, društva itd. Glavni cilj je promocija digitalnega trga v Španiji. IAB Spain je del IAB International, društva, ki deluje po vsem svetu. Več o nas na povezavi http://www.iabspain.net
O Kaspersky Lab
Kaspersky Lab je največji zasebni prodajalec končnih varnostnih rešitev na svetu. Podjetje se uvršča med najboljše štiri svetovne prodajalce varnostnih rešitev za končne uporabnike*. Vseskozi več kot 16-letno zgodovino je Kaspersky Lab ostal inovator na področju IT varnosti in ustvarja učinkovite digitalne rešitve na področju varnosti za potrošnike, mala in srednja podjetja ter večje organizacije. Podjetje trenutno deluje v skoraj 200 državah in ozemljih po celem svetu ter zagotavlja zaščito več kot 300 milijonom uporabnikom. Več o Kaspersky Labu si lahko preberete na www.kaspersky.com.
* Podjetje je bilo uvrščeno na četrto mesto lestvice IDC po prihodkih od prodaje končnih varnostnih rešitev (IDC rating Worldwide Endpoint Security Revenue by Vendor, 2012). Lestvica je bila objavljena v poročilih IDC o napovedih za varnostne sisteme za končne uporabnike v letih 2013-2017 in deležih prodajalcev v letu 2012 (Worldwide Endpoint Security 2013–2017 Forecast in 2012 Vendor Shares (IDC #242618, August 2013)). V poročilu so prodajalci programske opreme razporejeni glede na zaslužek od prodaje končnih varnostnih rešitev v letu 2012.