15 августа 2016

[уязвимость] Более 50% подключенных автомобилей находятся под угрозой кибератак

Свыше 70% уязвимостей могут эксплуатироваться для получения доступа к CAN-BUS, отключения электронных блоков управления и пр.

Порядка 51% подключенных автомобилей подвержены множественным уязвимостям, причем по меньшей мере половина из них может позволить хакерам получить полный или частичный доступ к системам транспортного средства. К такому выводу пришли специалисты компании IOActive по итогам трехлетнего исследования автомобилей от крупнейших мировых производителей, пишет SecurityWeek.

В прошлом эксперты уже демонстрировали примеры эксплуатации уязвимостей с целью захвата контроля над управлением автомобиля. В частности, в июле прошлого года бывший программист Агентства национальной безопасности США Чарли Миллер (Charlie Miller) и сотрудник IOActive Крис Валасек (Chris Valasek) смогли удаленно перехватить управление внедорожником Fiat Chrysler, а в августе нынешнего года взломали Jeep Cherokee.

Из общего числа проанализированных экспертами IOActive уязвимостей, 25% получили статус критических (высокая вероятность эксплуатации), 25% оценены как опасные, то есть, их легко может обнаружить и проэксплуатировать даже не владеющий серьезными навыками атакующий.

По данным исследователей, наиболее распространенными уязвимостями являются: логические ошибки в коде; проблемы, позволяющие утечку данных; уязвимости, связанные с переполнением буфера или использованием устаревших библиотек; бэкдоры, неизменяемые учетные данные.

17% из идентифицированных экспертами уязвимостей не представляют угрозу безопасности автомобиля, однако остальные могут эксплуатироваться для получения доступа к CAN-BUS, компрометации телематической системы автомобиля, отключения электронных блоков управления и пр.

Напомним, в начале нынешнего месяца исследователи обнаружили уязвимость в системах полуавтономного вождения AutoPilot автомобилей Tesla Model S. Из-за ошибки компьютер автомобиля воспринимал находящий рядом с транспортным средством существующий объект как несуществующий и наоборот.

Источник: Securitylab.ru