Архитектор ПО установил, что через передний USB-порт можно установить практически что угодно на мультимедийную систему Honda Civic 2021 года. Хотя головное устройство требовало подписанный файл AOSP для обновления, тестовый ключ AOSP общеизвестен, что позволяет любому, кто обладает знаниями, создать собственный файл обновления и загрузить в него вредоносное ПО. — tomshardware.com
Программно-аппаратный архитектор Эрик Макдональд обнаружил, что мультимедийная система их Honda Civic 2021 года имеет вопиющую уязвимость через передний USB-порт. Согласно публикации в их блоге, Honda позволяет обновлять головное устройство этого конкретного автомобиля через USB. Однако, по всей видимости, оно не имеет надежных мер безопасности: оборудование проверяет только подписанный файл AOSP (Android Open Source Project), подписанный общеизвестным тестовым ключом. Если вы знаете, как настроить USB-накопитель и подписать его этим тестовым ключом AOSP, вы (или кто-либо еще) потенциально можете установить что угодно на свое головное устройство через канал обновления. Хотя это полезно для энтузиастов, желающих извлечь больше из своих автомобилей, Макдональд также отметил, что это может быть использовано для «атаки злой горничной» (evil maid attack). Этот метод компрометации оборудования использует временный физический доступ человека (например, гостиничной горничной) для установки вредоносного ПО на оборудование. В своем примере они упомянули, что журналист может оставить свою машину у парковщика, а затем этот парковщик может установить вредоносное ПО на его мультимедийную систему, что и дало уязвимости название «EvilValet». Как только приложение или вредоносное ПО установлено, оно может использовать множество датчиков, имеющихся в автомобилях, для записи разговоров, отслеживания местоположений и даже создания видеозаписей, пока владелец ничего не подозревает. Затем оно может использовать различные варианты беспроводного подключения мультимедийной системы, такие как Bluetooth, Wi-Fi или даже сотовую связь, для эксфильтрации собранных данных. Следует отметить, что это не влияет на безопасность автомобиля, поскольку вредоносное ПО ограничено мультимедийной системой. Это означает, что злоумышленник по-прежнему не может удаленно управлять двигателем или тормозной системой, изменять функции безопасности или даже разблокировать автомобиль. Но все же это серьезная проблема конфиденциальности и безопасности, особенно учитывая, что Honda Civic является такой популярной моделью. Хотя большинство ценных целей имеют специализированную защиту, помогающую предотвратить подобные атаки, это все еще может быть использовано против окружающих их людей, таких как их охрана или персонал, а затем собранная информация может быть использована для разведки или даже в качестве рычага давления для получения доступа к цели. Также возможно, что та же уязвимость существует и в других марках и моделях автомобилей, особенно учитывая, что OEM-производители могут поставлять одно и то же оборудование/программное обеспечение для мультимедийных систем нескольким брендам. Уязвимости подобного рода известны в автомобильной промышленности уже много лет — у нас есть отчет восьмилетней давности, где Volkswagen отказался устранить уязвимость, которую можно было использовать через интернет на моделях VW и Audi, из-за отсутствия у них возможностей OTA-обновления. Также в публикации WikiLeaks от 2017 года предполагалось, что ЦРУ изучало возможность удаленного управления автомобилями через уязвимости в них. Хотя подключение к интернету и программные функции сделали вождение более удобным, отсутствие даже базовой безопасности вызывает тревогу. Ситуация будет только ухудшаться, поскольку почти каждый новый автомобиль, доступный сегодня, оснащен какими-либо передовыми системами помощи водителю, цифровыми мультимедийными системами, функциями беспроводной связи и многим другим. Если вы хотите поэкспериментировать с головным устройством в *вашем* Honda Civic 2021 года, Макдональд создал инструменты, чтобы упростить «джейлбрейк». Вы можете ознакомиться с доступными файлами на GitHub, но, как обычно, следует быть осторожным при вмешательстве в мультимедийную систему вашего автомобиля, так как вы можете его «окирпичить», то есть вам придется заменить его на новый.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jowi Morales