Coraz więcej nowoczesnych samochodów wyposażonych jest w możliwość zdalnego kontrolowania pewnych systemów, np. klimatyzacja, zamek centralny itp. poprzez aplikację zainstalowaną na smartfonie kierowcy. Komputery realizują coraz więcej funkcji w samochodach, co umożliwia rozszerzanie listy opcji, które mogą być sterowane zdalnie. Zgodnie z naszymi prognozami, aplikacje na smartfonach kierowców będą niedługo pozwalały na kontrolowanie nawet krytycznych systemów pojazdów.

W niedawnym przypadku z samochodem Nissan Leaf mieliśmy do czynienia z następującym scenariuszem: badacz pobrał aplikację, która pozwala na kontrolowanie systemów samochodu i użył numeru VIN pojazdu, by połączyć się z jego panelem sterowania. Numer VIN był jedynym zabezpieczeniem wymaganym do połączenia się z pojazdem. Nietrudno wyobrazić sobie, w jaki sposób takie działanie mogłoby zostać wykorzystane do szkodliwych celów - wystarczyłoby wprowadzić inny numer VIN, by połączyć się z kolejnym samochodem.

Mimo że funkcjonalność dostępna w omawianym przypadku jest dość ograniczona (zdalne sterowanie klimatyzacją i systemem rozrywkowym), łatwość, z jaką badacz zdołał uzyskać dostęp, powinna zaalarmować producentów oprogramowania wykorzystywanego na rynku motoryzacyjnym. Wspomnianemu 'atakowi' można było stosunkowo łatwo zapobiec - należało zastosować procedury bezpiecznego uwierzytelniania między samochodem i aplikacją zainstalowaną na smartfonie w połączeniu z szyfrowaniem danych.

Przykład Nissana po raz kolejny pokazuje, że producenci samochodów powinni przykładać coraz większą wagę do kwestii cyberzagrożeń w odniesieniu do samochodów podłączonych do internetu".

Komentarz przygotował: Siergiej Lożkin, starszy badacz ds. bezpieczeństwa IT, Kaspersky Lab.