Ataki tego typu nazywa się CarsBlues. Niedawno zaprezentowany przez Andreę Amico (twórcę aplikacji Privacy4cars) atak pozwolił na nieautoryzowany dostęp, za pośrednictwem Bluetootha, do telefonu sparowanego z samochodowym systemem rozrywki i przechwycenie danych dotyczących historii połączeń, listy kontaktów oraz wiadomości SMS.

Problem został już zgłoszony do Sharing and Analysis Center (Auto-ISAC) – organizacji zrzeszającej producentów samochodów w celu wymiany informacji i szybkiego reagowania na cyberzagrożenia. Po tej interwencji dwóch producentów samochodów zadeklarowało wprowadzenie stosownych poprawek w modelach na rok 2019. Szacuje się jednak, że luka nadal jest obecna w milionach pojazdów.

Warto sobie przypomnieć, że w ubiegłym roku dwóch analityków bezpieczeństwa sieciowego, Gabriel Cirlig i Stefan Tanase z IXII Group Inc, zaprezentowało inny atak na samochodowy system multimedialny za pomocą spreparowanego kodu napisanego w języku skryptowym. Umożliwiał on uzyskanie historii połączeń, listy kontaktów, wiadomości SMS, maili oraz powiązań z zainstalowanymi aplikacjami, a także zdjęć i nagrań. Wykradzione dane były bez wiedzy użytkownika kopiowane na podpięty do samochodu pendrive.

Do przeprowadzenia naruszeń zaprezentowanych zarówno przez duet Gabriel Cirlig i Stefan Tanase (za pośrednictwem WiFi), jak i Andreę Amico (za pośrednictwem Bluetooth) nie jest wymagana fizyczna ingerencja. Wystarczy tylko sparować wcześniej urządzenie znajdujące się w posiadaniu przestępcy z samochodowym systemem rozrywki lub podłączyć się do samochodowej sieci WiFi.

Privacy4Cars ostrzega, że problem dotyczy głównie osób korzystających z wynajętych pojazdów. Nigdy nie mamy pewności, czy ktoś wcześniej nie zmodyfikował znajdującego się w wynajętym samochodzie oprogramowania, np. w celu gromadzenia w jego pamięci wewnętrznej wrażliwych danych z sparowanych telefonów komórkowych.

Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken uważa, że problem jest bardzo poważny. Opisane luki dotyczyły konkretnych modeli samochodów i zostały usunięte. Warto jednak mieć świadomość tego, że różni producenci, różnych marek, często korzystają z takich samych lub nieznacznie zmodyfikowanych bibliotek kodu, co zwiększa prawdopodobieństwo, że na rynku występuje jeszcze wiele podatnych na atak samochodowych systemów cyfrowej rozrywki i łączności.

Źródło: Bitdefender