Автомобилем можно управлять без ведома владельца

• Отсутствует защита от обратной разработки, или реверс-инжиниринга. Злоумышленники могут подробно изучить код программы, понять, как она работает, и найти уязвимости. Те, в свою очередь, дают им возможность получить доступ к серверной инфраструктуре.
• Отсутствует контроль целостности кода. Преступники могут интегрировать свой собственный код в приложение, и тогда в системе окажутся две версии программы: оригинал и его вредоносная модификация.
• Отсутствует контроль рутинга — получения прав суперпользователя на устройстве. Root- права дают зловредам почти неограниченные возможности и фактически лишают приложение какой-либо защиты.
• Отсутствует защита от перекрытия окон. Вредоносное ПО может показать фишинговое окно поверх оригинального приложения и украсть пользовательские данные.
• Логины и пароли хранятся в виде обычного текста, что упрощает злоумышленнику задачу их получения.

Эти уязвимости дают преступнику возможность открыть двери автомобиля, выключить сигнализацию, включить зажигание — в общем, получить если не полный, то весьма значительный контроль над машиной.

Такие атаки требуют предварительной подготовки со стороны злоумышленника: например, он должен обманом заставить владельца машины установить вредоносное ПО, которое получит root-права доступа к устройству, а затем и к приложению для управления автомобилем. Но как показывает опыт «Лаборатории Касперского», для серьезных преступников это не представляет труда, особенно если они знакомы с техниками социальной инженерии.

«Главный вывод нашего исследования — автомобильные приложения в их нынешнем состоянии совершенно беззащитны перед атаками. Мы полагаем, что тут автопроизводителям пригодится опыт банков. Первые банковские приложения страдали от тех же проблем, что перечислены в отчете. Но многочисленные атаки вынудили разработчиков серьезно поработать над безопасностью, — комментирует Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского». — Автомобилям пока везет: мы еще не зафиксировали ни одного случая атаки на их приложения. У автопроизводителей есть время, чтобы все исправить, но неизвестно, как много. Современные троянцы очень гибки: сегодня они могут работать как обычная рекламная программа, а завтра обновиться таким образом, что получат возможность атаковать другие приложения.».

Эксперты «Лаборатории Касперского» рекомендуют владельцам подключенных к Интернету автомобилей принять следующие меры, чтобы защитить свою машину и личные данные от кибератак:

• Не устанавливайте приложения из непроверенных источников, а лучше отключите эту опцию в устройстве.
• Если на вашем устройстве включены root-права, удалите их: это открывает почти неограниченные возможности для вредоносного ПО.
• Регулярно обновляйте операционную систему устройства. Обновления закрывают уязвимости в ПО и снижают риск атак.
• Установите на устройство проверенное защитное решение.