автомобили
Компьютеризация автомобиля давно дошла до такого уровня, что кибератаки на него весьма действенны — возможны угон, несанкционированное включение дополнительного оборудования, дистанционные торможение и руление, шпионаж. Но чтобы провести эти атаки, зачастую нужен кратковременный физический доступ к автомобилю или взлом его телематических систем, то есть связи с сервером производителя по сотовой сети. В недавно опубликованном исследовании PCA Cyber Security описан новый способ — для взлома достаточно подключиться к развлекательной системе автомобиля по Bluetooth. Четыре уязвимости, коллективно названные PerfektBlue, вряд ли приведут к массовым угонам или взломам, но знать о них и соблюдать внимательность все же стоит.
Под капотом PerfektBlue
Подключить смартфон к автомобилю по Bluetooth для разговоров по громкой связи или прослушивания музыки можно в любом авто, выпущенном за последние 10 лет. Для этого в развлекательной системе (infotainment system), которая является частью головной системы (head unit), имеется чип Bluetooth и набор специального ПО. Многие производители автомобилей используют один и тот же набор ПО под названием OpenSynergy BlueSDK. По словам разработчиков, BlueSDK используется в 350 млн автомобилей. По имеющейся информации, в их числе Ford, Mercedes-Benz, Skoda, Volkswagen.
Исследователи PCA Cyber Security обнаружили четыре уязвимости в BlueSDK (CVE-2024-45431, CVE-2024-45432, CVE-2024-45433, CVE-2024-45434), которые атакующий может объединить, чтобы запустить на устройстве свой вредоносный код. Для этого ему нужно быть подключенным к автомобилю по Bluetooth, то есть пройти процедуру сопряжения (pairing). Если это условие выполнено, то дальше злоумышленник беспрепятственно посылает автомобилю вредоносные команды по протоколу управления аудиоплеером (AVCRP). Это вызывает в операционной системе головного устройства ошибку, и в итоге хакер получает на нем те же права, что и программный код автопроизводителя для работы с Bluetooth. С этими правами атакующий теоретически может отслеживать местоположение жертвы, записывать происходящее в машине с помощью встроенных микрофонов, а также красть сохраненные в головной системе данные, например записную книжку жертвы. В зависимости от архитектуры конкретного автомобиля, из головной системы через CAN-шину злоумышленнику могут быть доступны управляющие модули (ECU) для контроля более серьезных функций, таких как тормоза.
Практические вопросы о PerfektBlue
Как жертва может заметить и предотвратить атаку? Это зависит от того, как реализован Bluetooth в конкретном автомобиле. Изредка подключение к автомобильной системе по Bluetooth не требует никаких подтверждений от водителя и пассажира, система открыта для сторонних подключений. В этом случае заметить и предотвратить атаку невозможно. Но большинство автомобилей требует у водителя подтвердить соединение с новым устройством, поэтому водитель увидит неожиданный запрос на подключение. Если отклонить запрос, атака провалится. Иногда автомобиль автоматически отклоняет соединение, если водитель не зашел в настройки и сам не включил там режим сопряжения. Если ваш автомобиль ведет себя именно так, провести атаку на него будет очень сложно.
Как узнать, подвержен ли автомобиль PerfektBlue? К сожалению, производители обычно не разглашают используемые в автомобиле компоненты и тем более программный код. Поэтому надежный способ — только проверка в фирменном или специализированном автосервисе, где могут уточнить, подвержена ли головная система этой проблеме в принципе и есть ли для нее новая прошивка, устраняющая уязвимости. Сами исследователи экспериментировали (и успешно проэксплуатировали уязвимости) на головных системах Volkswagen ID.4 (с развлекательной системой MEB ICAS3), Mercedes-Benz с «головой» NTG6 и Skoda Superb с головной системой MIB3.
Как защитить автомобиль и себя от атак PerfektBlue? Основная рекомендация — обновление прошивки головной системы на версию, уже не подверженную уязвимостям. Хотя OpenSynergy выпустили обновления ПО еще в сентябре 2024 года, их должен применить сначала производитель самих головных систем, а потом — автопроизводитель. Он же должен распространить новые прошивки по своей дилерской сети. Поэтому для некоторых уязвимых авто новой прошивки может не быть до сих пор.
Второй надежный способ защиты — отключить Bluetooth на автомобиле.
С какого расстояния можно провести атаку? С обычным оборудованием Bluetooth дальность атаки ограничена 10 метрами, но специальные усилители (range extenders) позволяют устанавливать связь на расстоянии 50–100 м. Если автомобиль оснащен сотовой связью (4G), то после первой фазы атаки, для которой нужен Bluetooth, злоумышленники в теории могут продолжать контролировать авто уже по сотовой сети.
Правда ли, что атака возможна, только когда двигатель включен? Это ограничение атаки озвучили в пресс-службе Volkswagen, но на практике почти все автомобили позволяют включить развлекательную систему вместе с Bluetooth, не активируя зажигание. Поэтому работающий двигатель для атаки не нужен.
Как производители должны улучшать защиту автомобиля от таких атак? Производители должны использовать подход конструктивной безопасности — secure by design. «Лаборатория Касперского» совместно с производителями головных систем и автомобильной электроники создает кибериммунные решения на базе KasperskyOS, в которых даже после атаки на уязвимые компоненты не может быть поражена вся система. Но с учетом длительных циклов разработки и тестирования в автоиндустрии до появления «кибериммунных» авто на дорогах пройдет еще несколько лет.
Другие реальные случаи взлома автомобилей через уязвимости в их электронных системах:
Советы