Сбываются самые страшные опасения всех скептиков концепции подключенных автомобилей — раз машина постоянно в сети, кто-то обязательно рано или поздно сможет ее взломать. Радует одно: обнаруженная «белым» хакером уязвимость не имеет отношения к ПО Tesla, а связана со сторонними сервисами.
Юный компьютерный взломщик из Германии, пишущий в твиттере под именем Дэвид Коломбо (David Colombo), рассказал о сенсационном взломе. Ему удалось получить удаленный доступ более чем к 25 электромобилям Tesla по всему миру. Поскольку Дэвид исповедует идеологию «белого хакинга», злоупотреблять обнаруженной уязвимостью он не собирается и уже сообщил о ней производителю.
Пока подразделение Tesla по безопасности продуктов работает над возможными способами «прикрыть» лазейку и связывается с находящимися в опасности клиентами, подробностей мало. Они будут опубликованы позднее в открытом каталоге обнаруженных уязвимостей программного обеспечения MITRE CVE. До тех пор Коломбо может сообщить далеко не всю информацию.
Во-первых, что самое главное — проблема кроется не в ПО электромобилей или облачных сервисах Tesla, а в сторонней программе. Владельцы машин, к которым Дэвид смог получить доступ, сами того не ведая поставили себя в уязвимое положение, используя для работы со своими электрокарами некое неофициальное приложение. Коломбо не раскрывает деталей, каким путем он совершил успешную атаку, чтобы злоумышленники не догадались ее использовать, пока «черный ход» не прикроют.
Во-вторых, полный контроль над электрокаром хакеру получить не удалось, только над некоторыми функциями шасси, а также над информационно-развлекательной системой. Общий список возможностей взломщика, по словам Коломбо, весьма длинный, из тех, что он назвал выделяются:
- отключение режима «часового», то есть машина не будет больше отправлять владельцу оповещения, если ее кто-то заденет или рядом раздастся громкий звук;
- открытие дверей, окон и даже «включение» электромобиля (но он никуда не поедет, поскольку ноги водителя на педали акселератора нет);
- запуск любого медиафайла на центральном экране, в том числе музыки и видео на максимальной громкости (опасно во время движения);
- определение геолокации машины, наличия или отсутствия людей внутри;
- включение головного света, габаритных огней и указателей поворота.
В общей сложности доступ получить удалось к «более чем 25 электромобилям» в тринадцати странах мира. Несмотря на то что у Дэвида есть возможность определить точное местоположение каждой Tesla, он посетовал, что предупредить владельцев об опасности не получается. Он просто не может установить их личности, это придется делать уже производителю. Хотя, если так подумать, только этика и нежелание доводить людей до сердечного приступа помешали немцу просто воспроизвести в салонах взломанных машин вопль «Вас взломали!»
С точки зрения кибербезопасности, на первый взгляд, к Tesla претензий нет, уязвимость обусловлена сторонним ПО. Однако сам факт доступа неофициальных программ к низкоуровневым функциям электромобиля вызывает опасение. Даже если производитель сертифицирует разработчика. С другой стороны, закрытость протоколов тоже никогда не помогает безопасности программного обеспечения, скорее наоборот. В любом случае у владельцев электромобилей этой марки всегда есть возможность включить дополнительный уровень защиты — двухфакторную авторизацию пользователя. Тогда машина не будет слушаться владельца дистанционно, пока он не введет одноразовый код, сгенерированный специальным сервисом.
По традиции Tesla никак не комментирует ситуацию.
11
Комментарий отправлен
Ваш комментарий опубликован.
Провокационные или оскорбительные комментарии запрещены.