BERLÍN, BRATISLAVA. Automobil prepojený cez mobilnú sieť k serverom automobilky nemusí ponúkať iba komfort, ale aj hrozbu. Presvedčila sa o tom firma BMW, ktorá musela záplatovať 2.2 milióna vozov, ktoré predáva pod značkami BMW, Rolls Royce a Mini.
Bezpečnostnú chybu v systéme ConnectedDrive odhalila nemecká motoristická asociácia ADAC. Jej bezpečnostní analytici prišli na to, že komunikácia so servermi nie je žiadnym spôsobom zabezpečená a automobil neoveruje ani identitu serverov, ani komunikačný kanál, cez ktorý sa s nimi spája.
Vďaka tomu môžu útočníci s falošným GSM hotspotom odoslať automobilu inštrukcie tak, akoby pochádzali priamo od výrobcu. Nimi možno otvoriť uzamknutý voz, zmeniť jeho nastavenia alebo stavové hlásenia.
Útočníkom by v prípade snahy o nabúranie stačilo odsledovať komunikáciu a zdokumentovať firemný protokol pre prenos dát, aby mohli s úspechom ovládnuť vozidlo. Bez lámania šifier či akýchkoľvek iných bezpečnostných mechanizmov.
Podľa BBC firma úspešne opravila firmvér, ktorý distribuovala do vozidiel zo svojich serverov. Odteraz bude používať šifrované spojenie prostredníctvom protokolu https.
Bezpečnostní analytici dlhodobo upozorňujú na to, že firmy, ktoré podnikajú mimo IT segmentu, podceňujú bezpečnosť svojich „smart“ riešení. Je iba otázkou času, kedy začnú útočníci takéto slabiny využívať.
