Η ενεργή σύνδεση των οχημάτων με το Διαδίκτυο έχει ξεκινήσει στη διάρκεια των τελευταίων ετών, με αφετηρία τα κρίσιμα συστήματα ασφαλείας τους, όπως κλειδαριές θυρών και σύστημα ανάφλεξης, πέρα από τα συστήματα ενημέρωσης και ψυχαγωγίας. Φυσικά, στο «παιχνίδι» μπήκαν σύντομα οι mobile εφαρμογές για τη λήψη συντεταγμένων της θέσης του οχήματος, τον προσδιορισμό της διαδρομής του, αλλά και το άνοιγμα των θυρών, την εκκίνηση του κινητήρα και τον έλεγχο πρόσθετων συσκευών στο εσωτερικό του.

Οι εξελίξεις αυτές φέρνουν όλο και πιο κοντά τα αυτοκινούμενα οχήματα, στα οποία φαίνεται ότι θα στηρίζονται οι διαδικτυωμένες μεταφορές του μέλλοντος, που θα λύσουν τα προβλήματα μετακίνησης στα μεγάλα αλλά και στα μικρότερα αστικά κέντρα του πλανήτη, όπου εκτιμάται ότι ως το 2050 θα ζει το 70% του παγκόσμιου πληθυσμού. Παρ’ όλη την πρόοδο όμως των νέων τεχνολογιών, οι ειδικοί επισημαίνουν ότι η ευρεία χρήση οχημάτων «χωρίς οδηγό» είναι ακόμα μακριά.

Ολες οι λειτουργίες που περιγράφηκαν παραπάνω σχετικά με τη συμβολή του Διαδικτύου στην ασφάλεια του οχήματος είναι εξαιρετικά χρήσιμες, όμως θα πρέπει να ληφθεί υπόψη ο κίνδυνος των ψηφιακών επιθέσεων. Οι ερευνητές του Kaspersky Lab, αφού εξέτασαν την ασφάλεια εφαρμογών πολλών διάσημων κατασκευαστών αυτοκινήτων για τον απομακρυσμένο έλεγχο οχημάτων, συμπέραναν ότι σε όλες ανακύπτουν ζητήματα ασφαλείας. Αυτά μπορεί δυνητικά να επιτρέψουν σε εγκληματίες να προξενήσουν σημαντική ζημιά σε ιδιοκτήτες «συνδεδεμένων» αυτοκινήτων.
Οι ερευνητές εξέτασαν επτά εφαρμογές απομακρυσμένου ελέγχου αυτοκινήτων, τις οποίες, σύμφωνα με στατιστικά στοιχεία του Google Play, έχουν «κατεβάσει» χρήστες δεκάδες χιλιάδες φορές και σε ορισμένες περιπτώσεις ως και 5 εκατομμύρια φορές.
Ο κατάλογος των θεμάτων ασφαλείας που ανέκυψαν περιλαμβάνει απουσία άμυνας απέναντι σε εφαρμογές αντίστροφης μηχανικής. Ως αποτέλεσμα, οι κακόβουλοι χρήστες μπορούν να κατανοήσουν πώς λειτουργεί η εφαρμογή και να εντοπίσουν μια ευπάθεια που θα τους επιτρέψει να αποκτήσουν πρόσβαση σε υποδομές από την πλευρά του server ή σε σύστημα πολυμέσων του αυτοκινήτου.
Επίσης, απουσία ελέγχου ακεραιότητας κώδικα, ο οποίος είναι σημαντικός διότι επιτρέπει στους εγκληματίες να ενσωματώσουν δικό τους κώδικα στην εφαρμογή και να αντικαταστήσουν το αρχικό πρόγραμμα με ένα πλαστό. Απουσία τεχνικών ανίχνευσης «rooting», η οποία αφήνει ανυπεράσπιστη την εφαρμογή, παρέχοντας σε κακόβουλα λογισμικά και ηλεκτρονικούς ιούς σχεδόν απεριόριστες δυνατότητες.
Μια ακόμη έλλειψη εντοπίστηκε στην προστασία έναντι των τεχνικών επικάλυψης εφαρμογών, «κενό» που βοηθά τις κακόβουλες εφαρμογές να προβάλλουν παράθυρα phishing και να κλέβουν τα στοιχεία σύνδεσης των χρηστών. Τέλος, αποθήκευση των στοιχείων σύνδεσης και των κωδικών πρόσβασης σε μορφή απλού κειμένου, μια αδυναμία την οποία εκμεταλλευόμενος ένας εγκληματίας μπορεί να κλέψει τα δεδομένα των χρηστών σχετικά εύκολα. Μετά την επιτυχή παραβίαση, ο εισβολέας μπορεί να αποκτήσει τον έλεγχο του αυτοκινήτου, να ξεκλειδώσει τις πόρτες, να απενεργοποιήσει τον συναγερμό ασφαλείας και, θεωρητικά, να κλέψει το όχημα.
«Το κύριο συμπέρασμα της έρευνάς μας είναι ότι, στη σημερινή τους κατάσταση, οι εφαρμογές για τα συνδεδεμένα αυτοκίνητα δεν είναι έτοιμες να αντιμετωπίσουν τις επιθέσεις κακόβουλου λογισμικού. Εάν κάποιος σκεφθεί την ασφάλεια ενός συνδεδεμένου αυτοκινήτου, δεν θα πρέπει να εξετάσει μόνο την ασφάλεια των υποδομών από πλευράς του server. Αναμένουμε ότι οι κατασκευαστές αυτοκινήτων θα πρέπει να ακολουθήσουν τον ίδιο δρόμο που έχουν χαράξει οι τράπεζες με τις εφαρμογές τους» δήλωσε ο κ. Victor Chebyshev, ειδικός σε θέματα ασφάλειας του Kaspersky Lab.
Οπως επισημαίνει, μέχρι σήμερα, δεν έχει εντοπιστεί από τους ειδικούς του εργαστηρίου κανένα κρούσμα επιθέσεων ενάντια σε εφαρμογές αυτοκινήτων, πράγμα που σημαίνει ότι οι πωλητές αυτοκινήτων εξακολουθούν να έχουν χρόνο για να ρυθμίσουν τα πράγματα σωστά. Οι εξέλιξη όμως της τεχνολογίας είναι τόσο ραγδαία που αυτό δεν αποκλείεται.
«Τα σύγχρονα Trojans είναι πολύ ευέλικτα – τη μια μέρα μπορούν να λειτουργούν σαν κανονικό adware και την επόμενη μέρα μπορούν εύκολα να κατεβάσουν μια νέα ρύθμιση που θα τους δώσει τη δυνατότητα να στοχεύουν σε νέες εφαρμογές. Η επιφάνεια επίθεσης στην προκειμένη περίπτωση είναι πραγματικά μεγάλη» σημείωσε.
Στις συμβουλές των ερευνητών για την προστασία των ιδιοκτητών και χρηστών οχημάτων περιλαμβάνονται να αποφεύγουν να κάνουν «root» στην Android συσκευή τους, όπως και να απενεργοποιήσουν τη δυνατότητα εγκατάστασης εφαρμογών από άλλες πηγές εκτός από τα επίσημα app stores. Επίσης, να αναβαθμίσουν με την τελευταία έκδοση το λειτουργικό σύστημα της συσκευής τους, προκειμένου να μειωθούν οι ευπάθειες του λογισμικού και να μειωθεί ο κίνδυνος επίθεσης. Τέλος, να τοποθετήσουν μια δοκιμασμένη λύση ασφάλειας για την προστασία της συσκευής από ψηφιακές επιθέσεις.

HeliosPlus