Дослідники кібербезпеки виявили численні вразливості в інформаційно-розважальних блоках, які використовуються в деяких автомобілях Skoda. Ці вразливості можуть дозволити зловмисникам віддалено запускати певні елементи керування автомобіля та відстежувати місцезнаходження автомобілів у режимі реального часу. Хакеру потрібно лише опинитися поруч з автомобілем.
На конференції Black Hat Europe компанія PCAutomotive, що спеціалізується на автомобільній кібербезпеці, оприлюднила 12 нових вразливостей, що впливають на останню модель седана Skoda Superb III. Це сталося через рік після того, як організація оприлюднила 9 інших уразливостей, що стосуються тієї ж марки Skoda.
Данила Парніщев, керівник відділу оцінки безпеки в PCAutomotive, сказав, що хакери можуть використовувати вразливості для впровадження шкідливих програм в автомобіль. Зловмиснику потрібно буде підключитися до медіаблоку Skoda Superb III через Bluetooth, щоб використати вразливості. Парніщев зазначає, що атаку можна здійснити в межах 10 метрів від автомобіля без аутентифікації.
Уразливості, виявлені в інформаційно-розважальному блоці автомобіля MIB3, можуть дозволити зловмисникам досягти необмеженого виконання коду та запускати шкідливий код кожного разу при запуску цього блоку. Це може дозволити зловмиснику отримати GPS-координати транспортного засобу та дані про швидкість, записувати розмови через мікрофон автомобіля, робити скріншоти дисплея інформаційно-розважальної системи та відтворювати довільні звуки в автомобілі.
Знайдені вразливості в системах Superb III, також дозволяють зловмисникам отримати доступ до бази даних телефонних контактів власника автомобіля, якщо він увімкнув синхронізацію контактів зі своїм автомобілем.
“Зазвичай телефони зашифровані, тому ви не можете легко витягти базу контактів”, – сказав Парніщев. «У випадку з інформаційно-розважальним блоком ви можете — база даних контактів зберігається у відкритому вигляді».
Парніщев зазначив, що вони не знайшли способу обійти обмеження шлюзу автомобільної мережі для доступу до критично важливих для безпеки елементів керування автомобілем, таких як кермо, гальма та педаль газу.
У PCAutomotive зазнача.ть, що вразливі блоки MIB3 використовуються в багатьох моделях Volkswagen і Skoda. Виходячи з цифр продажів, потенційно існує понад 1,4 мільйона вразливих автомобілів.
Однак Парніщев сказав, що кількість вразливих автомобілів може бути набагато більшою, якщо врахувати ринок запчастин. «Якщо ви зайдете на eBay і шукатимете номер деталі, ви його знайдете. І якщо це так, що попередній користувач не стирав, то там буде і їх база контактів», – пояснив він.
У PCAutomotive заявили, що Volkswagen виправив уразливості після того, як про них було повідомлено через програму розкриття проблем кібербезпеки.
Прес-секретар Skoda Том Дрекслер сказав: «Про вразливості в інформаційно-розважальній системі, про які повідомляється, було вирішено та усунуто шляхом постійного управління вдосконаленнями протягом життєвого циклу наших продуктів. Ніколи не було і не існує жодної загрози для безпеки наших клієнтів або наших транспортних засобів».
