През последните години автомобилните инфотейнмънт системи се превърнаха в ключов компонент за потребителското изживяване, интегрирайки навигация, мултимедия и връзка с мобилни устройства. В същото време обаче те стават и потенциална цел за кибератаки, което изисква повишено внимание към сигурността им.
Какво се случи?
Според публикация в Tom's Hardware, софтуерен архитект успя да демонстрира, че инфотейнмънт системата на Honda Civic от 2021 година може да бъде „джейлбрейкната“ чрез стандартния USB порт отпред на автомобила. Въпреки че системата изисква подписан AOSP (Android Open Source Project) файл за обновяване, използваните ключове за подписване са публично достъпни тестови ключове, което позволява на всеки с необходимите технически познания да създаде и инсталира собствен софтуер.
Това означава, че злонамерени лица могат да инсталират приложения, които не са одобрени от производителя, включително потенциално вредоносен софтуер. Един от описаните сценарии е т.нар. „EvilValet“ атака, при която нападател може да получи контрол върху системата, докато автомобилът е оставен на паркинг или сервиз, без да бъде забелязан от собственика.
Защо това е важно?
Инфотейнмънт системите вече не са просто развлекателни устройства, а често са свързани с ключови функции на автомобила, включително управление на настройки, комуникация и дори достъп до лични данни на потребителя. Уязвимост, която позволява инсталиране на неоторизиран софтуер, може да компрометира както сигурността на автомобила, така и поверителността на шофьора.
Атаките от типа „EvilValet“ могат да доведат до кражба на информация, манипулация на системи или дори контрол върху някои функции на автомобила, което поставя под риск безопасността на пътниците и околните.
По-широк контекст
Автомобилната индустрия бързо интегрира все по-сложни софтуерни решения, базирани на Android и други платформи, за да отговори на нуждите на модерните потребители. В същото време това увеличава повърхността за потенциални атаки, особено когато производителите използват стандартни или публично достъпни компоненти и ключове за подписване на софтуер.
Подобни уязвимости не са изолирани случаи и подчертават необходимостта от по-строги стандарти за сигурност и по-добра интеграция между хардуер и софтуер в автомобилите. Производителите трябва да осигурят, че само надеждни и проверени актуализации могат да бъдат инсталирани, за да се предотвратят подобни рискове.
Какво може да последва?
Honda и други производители вероятно ще трябва да преразгледат своите системи за подписване и обновяване на софтуер, за да затегнат контрола върху инсталациите. Това може да включва използването на по-сигурни, частни ключове и допълнителни механизми за проверка на автентичността на софтуера.
От страна на потребителите е препоръчително да бъдат внимателни при свързване на външни устройства към автомобилните системи и да следят за официални актуализации от производителя. В дългосрочен план индустрията трябва да инвестира в разработването на по-сигурни архитектури, които да предпазват автомобилите от киберзаплахи, особено с нарастващата свързаност и автономност на превозните средства.
