Что протестировали эксперты «Лаборатории Касперского»
Для теста мы выбрали сразу несколько устройств разного назначения: пару сканеров для диагностики неполадок, систему для наблюдения за давлением и температурой в шинах, интернет-зависимый GPS-трекер, видеорегистратор и умную сигнализацию.
OBD-сканер против сканера Bluetooth
Что исследовали? Устройство, которое подключается к разъему OBD в автомобиле и передает на подключенный по Bluetooth смартфон данные о скорости, разгоне, оборотах двигателя и так далее. Данные можно наблюдать во время заезда, а впоследствии их можно наложить на видеозапись в приложении.
Что обнаружили? Серийный номер сканера и пароль, необходимые для подключения к нему, совпадают с MAC-адресом сканера. Проблема в том, что сканер транслирует свой MAC-адрес по Bluetooth — его видно всем устройствам на расстоянии десятков метров.
Таким образом, для подключения к устройству потенциальному злоумышленнику нужно всего лишь просканировать эфир и считать его MAC-адрес.
Чем грозит? К счастью, протестированный сканер только считывает информацию автомобиля и не влияет на его поведение. Поэтому даже если кто-то посторонний сможет подключиться к гаджету, он не сможет навредить водителю. Разве что просмотрит запись заезда и показания машины.
Другой OBD-сканер: провод есть — ума не надо
Что исследовали? Проводной OBD-сканер для диагностики автомобиля.
Что обнаружили? Производитель устройства приложил немало усилий к тому, чтобы защитить его прошивку. Перепробовав несколько методов, эксперты «Лаборатории Касперского» все же смогли извлечь прошивку из памяти устройства и нашли возможность модифицировать ее.
Однако оказалось, что сканер имеет слишком маленький объем памяти — ее хватает лишь для чтения показаний и ведения журнала ошибок. Использовать устройство в качестве плацдарма для взлома электронных систем автомобиля невозможно.
Чем грозит? Пользователям сканера нечего опасаться. Производитель гаджета снабдил его ровно теми характеристиками, которых достаточно только для выполнения основной задачи. Поэтому, кроме доступа к данным об ошибках, взлом устройства ничем не грозит.
Система мониторинга давления и температуры в шинах
Что исследовали? Основная задача системы, как несложно догадаться, — показывать данные о температуре и давлении в шинах, а также оповещать водителя, если они достигают критически низких или высоких значений. В ее состав входят четыре датчика (по одному на колесо), экран и блок управления.
Что выяснили? Датчики передают информацию в блок управления по радио, и эксперты решили попробовать перехватить и подменить данные с помощью SDR ( программно определяемой радиосистемы ). Для этого нужно знать серийный номер каждого датчика и то, какая часть исходящего от него сигнала отвечает за данные об изменении температуры и давления колеса. После нескольких замеров экспертам удалось это установить.
На практике, чтобы подменить сигнал, необходимо поддерживать постоянную связь с датчиками: держать антенну приемника направленной на автомобиль жертвы и двигаться с ним на одной скорости.
Чем грозит? Подмена сигнала с датчиков позволяет вывести на экран системы предупреждение о несуществующих неполадках, чтобы водитель остановил автомобиль. Однако для успешной атаки нужно находиться в непосредственной близости от цели. Учитывая это, владельцам устройства вряд ли стоит волноваться и срочно возвращать покупку в магазин.
Самая умная сигнализация
Что исследовали? Умную охранную систему, с помощью которой можно закрывать и открывать двери автомобиля и запускать двигатель. Управлять можно либо с брелока, либо по Bluetooth через Android-приложение.
Что выяснили? Брелок сигнализации общается с охранной системой по зашифрованному каналу. Также разработчики ответственно подошли к защите Bluetooth-соединения для управления со смартфона: устройства сопрягаются во время установки сигнализации, подключиться с другого смартфона не получится.
Наиболее уязвимой частью охранной системы оказалось приложение. Во-первых, оно не запрашивает пароль или биометрические данные при входе. Отдавать команды охранной системе тоже можно без дополнительной авторизации. Иными словами, украв у вас телефон с незаблокированным экраном, преступник получит автомобиль в подарок.
Вторая угроза, которой стоит опасаться пользователю «умной» сигнализации, — это заражение смартфона. Троян, имитирующий движения пальца по экрану, позволяет сравнительно легко открыть машину и запустить двигатель. Правда, при одном условии: смартфон владельца в этот момент должен находиться неподалеку от авто и быть подключенным к сигнализации по Bluetooth.
Чем это грозит? Несмотря на то, что экспертам удалось подобрать работающий механизм атаки, он едва ли применим в реальной жизни. Во-первых, сам по себе он довольно сложен. Во-вторых, требует целенаправленного заражения конкретного смартфона. В-третьих, для реализации плана смартфон владельца должен находиться рядом с машиной, что усложняет незаметную атаку. К тому же от такой атаки легко уберечься: достаточно установить на смартфон надежную защиту и не забывать блокировать экран паролем.
GPS-трекер
Что исследовали? Обычный GPS-трекер, только подключенный к Интернету и передающий данные о перемещениях автомобиля. Такой трекер может использоваться, чтобы отслеживать курьеров и посылки или защитить арендуемое оборудование.
Что выяснили? Взлом учетной записи администратора серверной части GPS-трекера позволит получить доступ к базе данных пользователей — маршрутам передвижения, финансовой информации, контактам, именам и многому другому. Более вероятный — из-за отсутствия двухфакторной аутентификации — взлом пользовательского аккаунта позволит получить доступ к данным конкретного клиента.
Чем грозит? Теоретически взлом сервера GPS-трекера можно использовать для слежки и сбора данных. Однако, по мнению наших экспертов, вероятность такой атаки невысока.
Улыбнитесь, вас снимает безопасная камера!
Что исследовали? Умный видеорегистратор. Гаджет откликается на голосовые команды, умеет самостоятельно определять потенциально опасные ситуации и сохранять записи о них, адаптироваться к разному уровню освещения и, естественно, взаимодействовать со смартфоном или планшетом через Wi-Fi.
Что выяснили? В теории, подключив к камере собственный смартфон, преступники могли бы натворить бед. Однако в этом случае безопасность системы оказалась на уровне. Например, она не только защищена паролем, который можно поменять, но и советует пользователю при первом подключении выбрать собственный пароль вместо заданного по умолчанию. А чтобы связать новый телефон с камерой, нужно еще и нажать специальную кнопку на самом видеорегистраторе.
Чем это грозит? Без физического доступа к камере преступник не сможет ни повлиять на ее работу, ни заполучить видеозаписи с нее. А если уж ему удалось добраться до камеры лично, то гораздо проще будет украсть карту памяти.
Выводы
С точки зрения практических атак защита большинства протестированных IoT-устройств оказалась вполне адекватной. Уязвимости в них есть, но их сложно было бы использовать для взлома в реальной жизни. Похоже, производители наконец-то начали уделять больше внимания безопасности своих продуктов. И это позволяет надеяться, что в дальнейшем ситуация на рынке «умных» устройств будет только улучшаться.
Подробнее о процессе поиска уязвимостей в автомобильных гаджетах и о находках наших экспертов можете почитать в исследовании на Securelist .
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
![]()
TIV bir yilda xorijdagi o‘zbekistonliklarga 746,5 ming dollar yordam ajratdi2025-yilda O‘zbekiston Tashqi ishlar vazirligi xorijdagi 4 mingdan ortiq fuqaroga 746,5 ming dollar moddiy yordam ko‘rsatdi.
-
![]()
Мбаппенинг 2026 йилги 5 мақсадиAS нашри саҳифаларида ҳужумчи Килиан Мбаппе ҳақида материал эълон қилинди.
-
![]()
5 аэрокосмических прорывов 2025 годаОт Луны до гиперзвука: 5 технологий 2025 года, которые приблизили будущее. 2025 год внезапно оказался тем самым моментом, когда невероятные...
-
![]()
Как отмечают Новый год на МКС: еда, традиции и видеозвонкиШесть членов экипажа 30-й экспедиции собрались в американской лаборатории «Дестини» на борту космической станции, чтобы отпраздновать Рождество...
-
![]()
Toshkent va Jizzaxda ichimlik suvi tariflari oshirilishi mumkin2025-yil may oyida elektr energiyasi narxlari oshirilgani fonida Toshkent shahri va Jizzax viloyatida ichimlik suvi tariflarini qayta ko‘rib...
-
![]()
Роберт Левандовскига асосий даъвогарлар номи айтилди"Барселона" ҳужумчиси Роберт Левандовски мавсум якунлангач, клубни тарк этиши мумкин.
