Hekkelt android mobilok autók millióihoz tudnak hozzáférni!

A csatlakoztatott autók korában az autógyártók és a külső gyártók versenyeznek az okostelefonok jármű távvezérlőkké alakításában, lehetővé téve a vezetők számára, hogy pusztán a képernyő érintésével meghatározzák pozíciójukat, útvonalakat jelöljenek ki és állítsanak le. Van olyan alkalmazás, amely még hívni is tudja a járművet Knight Rider módjára . De a telefonok feltörhetők. És amikor ez megtörténik, akkor hackerek akár át is vehetik az irányítást a jármű felett.

hekkelt android mobilok-autok 1

Nincs szoftveres védelem

Ez a nyugtalanító eredmény, hét vállalat, kilenc különböző, csatlakoztatott autójának Android-app. tesztjéből származik. Egy orosz kutató páros, a Kaspersky biztonsági cégtől úgy találta, hogy az alkalmazások többsége, amelyeket több százezerszer vagy több mint egy millió alkalommal töltöttek le, nem tartalmazott olyan alapvető szoftveres védelmet sem, amelyet a gépjárművezetők joggal várhatnának el, egyik legértékesebb tulajdonuk megóvása érdekében. A kutatók azt állítják, hogy vagy a megcélzott telefon op rendszerének gyökérprogramján keresztül betörve, vagy a felhasználóval trükkösen rosszindulatú kódot telepíttetve, bármelyik Kaspersky által tesztelt applikáció képes a járművet megtalálni, kinyitni, vagy akár a gyújtást bekapcsolni.

A biztonság programozott hiánya

Mostanra a kutatók elutasították, hogy megnevezzék az általuk tesztelt alkalmazások bármelyikét, attól tartva, hogy tippeket adnak az autós tolvajoknak. De azt állítják, hogy munkájuk általánosságban üzenet az autóiparnak, hogy vegyék komolyabban a csatlakoztatott járművek biztonságát. “Miért nem törődnek a csatlakoztatott autóalkalmazás-fejlesztők legalább annyira a biztonsággal, mint a banki alkalmazások fejlesztői?” – kérdezi a Kaspersky kutató Viktor Chebyshev. A felhasználó számára ők is nagyon értékes dolgokat irányítanak, még sem gondolnak a biztonsági mechanizmusokra.”

Autós hack a gyakorlatban

A legrosszabb kimenetelű támadásnak a kutatók azt találták, hogy a hacker hozzáfér a zárt autó belsejéhez, de a tolvajoknak további trükkökre van szükségük ahhoz, hogy elvigyék az autót, mint például egy kulcs meghamisítására, vagy – egyéb módon – az autó indításgátlójának letiltására.

Az elemzés nem teljeskörű, elsősorban az alkalmazásokra szorítkozik – a kutatók az érintett gépkocsi-modellek egy reprezentánsával próbálkoztak.  Azt állítják, hogy nem fedezték fel az általuk leírt valamennyi lehetséges malware mintát aktív használatban. Ennek ellenére azzal érvelnek, hogy az alkalmazások kódolásának egyedüli megvizsgálása azt mutatja, hogy az autós tolvajok kihasználhatnák és ki is használják a lehetőségeket, mivel a hacker fórumokon már bizonyítható a feketepiac érdeklődése. A fenti fórumokon (az eredeti dokumentumok szerint) postolnak ajánlatokat / kéréseket csatlakoztatott autó hitelesítő adatok eladására és vásárlására beleértve a felhasználóneveket és a jelszavakat, valamint a PIN-számokat és a járműazonosító számokat (VIN-okat).  Az átutalás több száz dollár számlánként. A számítógépes bűnözők most készítik elő ezeket a támadásokat” – mondja Chebyshev.

Forrás: wired.com

Forrás: wired.com

Kaspersky

A Kaspersky kutatói három technikát vázolnak fel az általuk tesztelt Android-alkalmazások kihasználására. (az iOS-t általában sokkal nehezebbnek tekintik.) Az alkalmazások egyikét vizsgálva, a társított felhasználónevet, jelszót vagy mindkettőt titkosítatlan formában tárolja a telefon tárhelyén. 

1. Root exploit tool program segítségével, amely teljes jogosultsággal rendelkezik az eszköz operációs rendszerében – egy hacker hozzáférhet a tárolt bejelentkezési adatokhoz, és elküldi azokat a parancs-és vezérlő szervernek.

2. Másik alternatíva, hogy a hackerek ráveszik az autótulajdonosokat a rosszindulatú kódot eleve tartalmazó módosított alkalmazások verzióinak letöltésére, amelyek, eltulajdonítják a bejelentkezési adatokat. 

3. Harmadik esetben a tolvajok képesek megfertőzni a telefonokat olyan rosszindulatú programokkal, amelyek “átfedő” támadást hajtanak végre: Amikor az alkalmazás elindul, a rosszindulatú szoftver észleli a betöltést és megelőzi azt egy hamis felületen, amely ellopja és továbbítja a felhasználó hitelesítő adatait. A hacker többszörös átfedésekkel is betöltheti a rosszindulatú programokat, így azok készen állnak arra, hogy minden csatlakoztatott autó alkalmazásra letöltődjenek “Ha támadó lennék, átfedném az összes csatlakoztatott autóalkalmazást, és csak lopnám az alkalmazások hitelesítő adatait” – mondja Chebyshev.

„Biztonsági övek becsatolása”

A kutatók azt állították, hogy értesítették az érintett gépjármű-vállalatok többségét a kiemelt biztonsági kérdésekről, és folyamatosan keresik a kapcsolatot a többiekkel .De azt is megjegyzik, hogy azok a problémák, amelyeket rámutatnak, nem biztonsági hibák, hanem hiányok, csakúgy, mint a védelem hiánya. Az eszközön tárolt hitelesítési adatok titkosítása vagy törlése, a kétlépcsős hitelesítés, vagy ujjlenyomat-hitelesítés hozzáadása esetleg integritásellenőrzés amelyeket az alkalmazások végeznének annak megállapítására, hogy a rosszindulatú kódot beépítették-e, messzemenő módon hozzájárulnának a probléma megoldásához.

Nem ez az első alkalom, hogy a csatlakoztatott autó alkalmazások hiányossága visszaüt a gyártókra, de a probléma sem csupán az Android telefonokra korlátozódik. Samy Kamkar biztonságtechnikai kutató már 2015-ben bemutatta, hogy egy kis áramkört az autóba rejtve vezeték nélkül szerezte meg a hitelesítő adatokat az iOS alkalmazásokból, például a GM Onstar, a Chrysler UConnect, a Mercedes-Benz mbrace és a BMW távirányítója.  Kamkar módszere azt is lehetővé tette számára, hogy távolról megtalálja ezeket az autókat, kinyissa őket, és egyes esetekben még a gyújtást is ráadja. Ezzel a módszerrel ” a támadó a titkosítást ellopná és újra felhasználhatná bármiféle telefon módosítás nélkül” – mondja Kamkar, szemben a Kaspersky által javasolt Android-hackekkel.

„Talán ma még kinyithatjuk az autót a riasztás kiváltása nélkül, de ezek a funkciók csak a kezdetek” – mondja Kaspersky kutató Mikhail Kuzin. “Az autógyártók új funkciókkal egészítik ki az életünk kényelmesebbé tételét, és a jövőbeli támadások elkerülésére már most gondolni kell.”

Forrás: wired.com

Fordította: Ecsedi Ákos

Kapcsolódó cikkek: