Киберпреступники способны угнать более 100 моделей автомобилей без ключа.
Уязвимость обнаружена в транспондере Megamos Crypto, которым оснащены машины, производимые Audi, Ferrari, Fiat, Cadillac, Volkswagen и двумя десятками других компаний по всему миру.
Сами же исследователи обнародовали отчет. К слову, ранее автопроизводители пытались воспрепятствовать его публикации. Благодаря найденным недостаткам злоумышленники смогли завести двигатель даже без ключа. Исследователям удалось восстановить секретный ключ, зашифрованный при помощи 96-битного алгоритма, используемый в транспондере. В ходе одной из тестовых атак специалисты по безопасности угнали машину всего за полчаса.
Специалисты подчеркнули, что подобная уязвимость является примером того, как разработчики в спешке подключают интерфейсы, рассчитанные на локальное использование, к Интернету, что приводит к серьезным проблемам с точки зрения защищенности систем.
Отметим, что в последнее время взломы автомобилей и сопутствующих устройств становятся настоящей топ-темой. Так, известный ИБ-исследователь Сами Камкар (Sami Kamkar) изобрел устройство размером с портмоне, которое может взламывать системы безопасности и перехватывать коды, используемые для разблокирования дверей большинства автомобилей и многих типов гаражных ворот.
Ранее в машине Tesla S исследователи обнаружили целых шесть новых уязвимостей. А недавно британская компания NCC выяснила, что злоумышленники могли бы отдавать автомобилю команды, используя цифровые радиосигналы (DAB). В результате хакеры в состоянии даже угрожать жизни водителя и его пассажиров. Получив контроль над автомобилем, они сумеют активировать и деактивировать тормоза машины и управлять другими критически важными элементами автомобиля.
Вдобавок концерн Fiat Chrysler выпустил патч уязвимости в системе Uconnect и заверил пользователей, что потенциальная атака на брешь, дающую хакерам возможность получить контроль над автомобилем, маловероятна, однако потом компания решила отозвать почти 1,5 млн автомобилей, в системах которых содержится баг. Уязвимость была в бортовом компьютере Uconnect, используемом в ряде моделей Fiat Chrysler, доступных на американском рынке.
