Презентация, в названии которой есть «Компрометация современных автомобилей», может создать ожидание, что вы вот-вот увидите драматическую демонстрацию взломанного автомобиля, который внезапно остановился или свернул под управлением злоумышленника. Прочитав аннотацию, вы узнаете, что уязвимости есть «только» в мультимедийной системе автомобиля, а не в его критически важных системах управления, и вы почти почувствуете разочарование. Несмотря на этот антиклиматический поворот, исследование PCAutomotive, представленное Данилой Парнищевым и Артемом Ивачевым на Black Hat Europe 2024, все же важно.
Двое исследователей безопасности подробно рассказали, как злоумышленники могут использовать различные уязвимости в мультимедийных системах для управления микрофоном автомобиля, записи разговоров пассажиров и воспроизведения записи через ту же систему, извлечения личных данных, отслеживания автомобиля и его скорости с помощью встроенного GPS, а также кражи списка контактов, загруженного через подключенное устройство.
Однако по какой-то причине это кажется менее инвазивным, чем, скажем, атака на смартфон, которая позволяет злоумышленнику отслеживать устройство, управлять его микрофоном и извлекать данные и контакты. Ожидание возможности взломать автомобиль создает визуальный образ катастрофы, угрозы жизни людей в машине и окружающих, поэтому, когда проблема оказывается связанной «только» с конфиденциальностью и личными данными, это кажется облегчением. Однако это не значит, что потенциальные последствия для конфиденциальности следует недооценивать.
Механика взлома
Когда вы впервые подключаете смартфон к мультимедийной системе автомобиля, обычно есть возможность загрузить и синхронизировать контакты напрямую с системой автомобиля. Это обеспечивает беспрепятственный доступ к контактам на экране и позволяет совершать звонки по мере необходимости. Исследователи обнаружили, что, загрузив измененный список контактов, они смогли использовать уязвимость в системе и удаленно отправлять команды (удаленное выполнение кода – RCE).
Оказавшись в системе, они, как упоминалось выше, могут контролировать некоторые элементы мультимедийной системы и извлекать данные. Уязвимости, описанные командой на конференции, затронули 1,4 миллиона автомобилей, но важно отметить, что все 21 уязвимость были устранены обновленным программным обеспечением через соответствующие производители.
Тем не менее, поднятые вопросы конфиденциальности весьма значительны, как и возможности для злоупотреблений. Представьте себе контролирующего партнера, отслеживающего свою вторую половинку и получающего доступ к ее контактам и другим данным – и все это через мультимедийную систему автомобиля, без ведома или согласия жертвы. Существует также столь же тревожный аспект шпионажа, я уверен, вы можете представить, как такой тип взлома может быть использован для крупномасштабного наблюдения и сбора разведданных.
Подходить к эволюции с осторожностью
Название презентации и других подобных презентаций может непреднамеренно вводить в заблуждение и даже вызывать недоверие к тому, что мы должны принимать. Автомобильная промышленность трансформируется, и такие описания рисков могут даже подорвать общественное доверие к этим инновациям.
Например, недавно я имел опыт поездки в беспилотном такси Waymo в Финиксе. Заказав через приложение, машина подъезжает, вы садитесь, и, удобно устроившись, нажимаете кнопку, чтобы начать поездку: я ехал из отеля в аэропорт. Я сделал обязательное – снял короткое видео, чтобы поделиться с друзьями и семьей – посмотрите, там не было водителя. Общий ответ был: «Никогда, мне такое не нужно, ты чувствовал себя в безопасности?»
Я уверен, что психолог сможет подробно объяснить эти чувства; для меня же это вопрос доверия к регулирующему процессу, оценке рисков и талантливым инженерам, которые его разработали. Автомобили Waymo – это не случайные прототипы; они прошли испытания, были проверены регулирующими органами и защитниками безопасности, а страховщики решили, что риск приемлем – и это немаловажно.
Когда меня спросят о презентациях, которые я посетил на Black Hat Europe в этом году, я не скажу, что «кто-то продемонстрировал, как взломать автомобиль». Я буду точнее и объясню, что «кто-то продемонстрировал, как скомпрометировать мультимедийную систему автомобиля».
Это различие важно. Мы не должны внушать страх перед технологиями, а скорее принимать их эволюцию. Недостатки и последующие исправления являются частью эволюции, и нам нужно подходить к изменениям с открытостью, но также, признаюсь, с некоторой осторожностью.
