Электрокар Tesla Model S, считающийся одним из самых безопасных автомобилей в мире, может нести в себе скрытые, нетипичные угрозы. Так, на прошедшей в конце марта конференции Black Hat Asia в Сингапуре специалист в сфере информационной безопасности Нитеш Дханьяни заявил, что автомобиль уязвим для хакеров.
Дело в том, что обладатель седана Model S должен создать аккаунт на сайте Tesla Motors. Придуманный к учетной записи шестизначный пароль затем будет использоваться для удаленного управления машиной при помощи смартфона. С экрана мобильного гаджета водитель может запускать или останавливать процесс зарядки аккумуляторов, прогревать или охлаждать салон перед поездкой, включать освещение или гудок для поиска машины на парковке, блокировать или разблокировать двери и панорамную крышу. Если хакеры получат доступ к аккаунту пользователя, то они смогут следить за водителями, что упрощает для них задачу угона электрокара. По словам Дханьяни, хакеры могут без особых проблем взломать аккаунт, используя традиционные методы, такие как перебор пароля. Правда, для запуска двигателя автомобиля нужен специальный брелок-ключ, который находится у водителя. Но, теоретически, злоумышленники, получив доступ к учетной записи владельцы авто могут представиться владельцем машины и забросить у службы поддержки компании дубликат.
Кроме того, Дханьяни опасается, что злоумышленники, завладев аккаунтом владельца Tesla, смогут видеть, где и когда он бывает. А это само по себе является нарушением частного пространства пользователя. «Это большая проблема — когда безопасность автомобиля стоимостью в $100 тыс. зависит от статичного шестизначного пароля», — подчеркивает эксперт.
Таким образом, умные автомобили подвержены новым, нетипичным угрозам. Четыре из них — в нашем обзоре.
Взлом ОС автомобиля
По своей программной составляющей Tesla Model S представляет собой персональный компьютер на колесах, который находится под управлением переработанной версии операционной системы Linux Ubuntu. Один из фанатов и владельцев этой машины обнаружил в корпусе авто Ethernet-порт, подключенный к внутренней сети. И именно через этот порт к бортовому компьютеру машины подключается обычный модульный ПК с предустановленной спецверсией Ubuntu.
На практике для пользователя это означает, что его автомобиль так же уязвим к внешнему вмешательству, как и обычный компьютер, работающий на Linux. Злоумышленник, который может оказаться в машине со специальным компьютером, сможет «заразить» Model S вирусами или уничтожить его операционную систему и таким образом парализовать работу всех электронных систем автомобиля. А имея доступ к бортовому компьютеру автомобиля, может получить и электронный ключ, хранящийся на брелоке владельца, завести автомобиль и уехать.
Теоретически, эту операцию можно провести и через интернет, но сделать это сложнее.
|
Сторонние приложения
Из-за того, что для полноценной работы автомобилю нужно почти всегда быть в режиме онлайн, хакеры, получившие доступ к аккаунту владельца авто, могут без проблем сначала удаленно выяснить, где точно находится электрокар, а затем точно так же открыть его двери и проникнуть внутрь.
Эксперты предупреждают: получить доступ к аккаунту пользователя злоумышленник может не только в результате взлома. Tesla уже начала распространять приложения для авто, написанные сторонними разработчиками. Поскольку трудно наверняка утверждать, содержат ли некоторые из них вредоносный код, эксперты рекомендуют воздержаться от загрузки сторонних приложений. По крайней мере, в ближайшее время.
Стоит, кстати, помнить и о том, что фирменное приложение Tesla для связи с автомобилем использует REST API. Этот программный протокол позволяет приложению совершать запросы по авторизации на онлайн-сервисе без ввода пароля пользователем вручную. Этот же принцип для связи с аккаунтом использует и приложение Tesla для Google Glass. Оно также позволяет управлять некоторыми функциями авто и следить за состоянием его основных систем. Но чтобы начать пользоваться программой, ее нужно авторизовать, открыв тем самым доступ к учетным данным сайта Tesla. И ничто не мешает другим приложениям от сторонних разработчиков запросить эту информацию у сервера через тот же протокол REST API.
|
Подбор пароля
Каждый владелец авто Tesla Model S обязан иметь аккаунт на сайте teslamotors.com. Многие пользователи обычно не стараются выбирать сложные комбинации, и к защищенности этих аккаунтов, таким образом, могут возникнуть вопросы.
Подобрать пароль на сайте Tesla можно даже с помощью просто перебора паролей с помощью специального ПО: на сайте автопроизводителя нет ограничений на количество неудачных попыток входа в систему. Перехватить пароль опытные хакеры также могут с помощью фишинг-атаки. Да и неясно пока, насколько готова Tesla бороться с проблемой возможной «утечки» паролей. Конечно, пока эта угроза невелика: владельцев этих электрокаров не то чтобы очень много. Но что если после кражи базы данных с паролями пользователей хакеры сделают из этих автомобилей целый ботнет?
А ведь есть еще и возможности социальной инженерии: все сотрудники из техподдержки Tesla Motors имеют удаленный доступ ко всем автомобилям компании. Например, злоумышленник сможет попытаться обмануть молодого сотрудника и с его помощью выяснить пароль к аккаунту чужого автомобиля.
Благо, автомобили Tesla не поддерживают функцию автономного движения без участия водителя.
|
Перехват данных в беспроводных сетях
Для связи с интернетом Tesla использует сети 3G и Wi-Fi. Когда Model S подключена к сети Wi-Fi, то обмен данными с точкой доступа происходит по протоколу OpenVPN. Взломать его — нетривиальная задача, но все же исполнимая. Злоумышленник может получить сведения о внутренней сети, используемой автомобилем. Какие проблемы в этой связи могут возникнуть у владельца электрокара, пока не очень ясно, но все равно это тревожный сигнал.
|
