С каждым годом автомобили становятся не только умнее, но и более уязвимыми для кибератак. Подключение к интернету и новым цифровым сервисам открывает перед хакерами новые возможности для взлома. Последние исследования выявили тревожные тенденции: уязвимости в автомобильных системах становятся причиной утечек данных, перехвата управления и даже угонов. В статье рассмотрим статистику кибератак и наиболее яркие инциденты за последние годы.
Кибератаки на автомобили: тревожная статистика
Исследование VicOne показало, что в 2024 году зафиксировано 162 кибератаки на автомобильные системы, включая:
- атаки программ-вымогателей (ransomware), парализующие работу дилерских сетей;
- взлом API и мобильных приложений, предоставляющих хакерам доступ к данным автомобилей;
- атаки на зарядные станции электромобилей и системы инфотейнмента.
Даже уязвимости в цепочке поставок могут оказать разрушительное влияние на всю индустрию. Рассмотрим яркие примеры ха
Уязвимость Subaru Starlink: сигнал тревоги для всей отрасли
Недавний инцидент с телематической системой Subaru Starlink наглядно показал, насколько уязвимы современные автомобили перед кибератаками.
Уточняем: речь идет не о спутниковом интернете SpaceX, а о цифровой платформе Subaru, которая дает владельцам удалённый доступ к управлению автомобилем — запуску двигателя, открытию дверей и отслеживанию местоположения через мобильное приложение.
Используя лишь номерной знак и минимальные данные владельца, хакеры могли:
- дистанционно завести или заглушить двигатель;
- заблокировать или разблокировать двери;
- отслеживать местоположение машины в реальном времени;
- получить доступ к конфиденциальной информации владельца.
Уязвимости в административном портале Starlink, включая слабую защиту API и недостаточную двухфакторную аутентификацию, позволили злоумышленникам проникнуть в систему. Хотя Subaru быстро исправила проблему, этот случай выявил серьезные недостатки в безопасности подключенных автомобилей.
Взлом Tesla Model X: клонирование брелока за 90 секунд
Бельгийский хакер Леннарт Вутерс из университета KU Leuven показал, как можно угнать Tesla Model X всего за 90 секунд.
Он использовал устройство за $300, чтобы скопировать сигнал ключа, после чего без проблем открыл и завел машину. В ходе эксперимента Вутерс не только продемонстрировал, насколько легко можно обойти механизмы защиты, но и подчеркнул важность усиления безопасности для автомобилей, подключенных к интернету.
После него ИБ-эксперты Талал Хай Бакри и Томми Мыск продемонстрировали простую фишинговую атаку с использованием Flipper Zero на учетную запись Tesla. Исследователи смогли угнать электроавтомобиль, обманом заставив владельца ввести свои учетные данные для входа в систему Tesla.
В результате инцидента Tesla улучшила защиту системы, однако вопрос кибербезопасности остается актуальным, так как злоумышленники могут применять аналогичные методы для угона других современных автомобилей.
TikTok-челлендж «Kia Boyz»: угон Kia и Hyundai
В 2022 году подростки в США начали массово угонять Kia и Hyundai, используя простую уязвимость в системе зажигания. Видео с инструкциями, как обойти защиту автомобиля, быстро разлетелись по TikTok.
Злоумышленникам требовалось лишь несколько инструментов и базовое понимание системы зажигания. Выяснилось, что многие модели Kia и Hyundai, выпущенные до 2021 года, не оснащались иммобилайзерами, что позволяло преступникам с легкостью завести автомобиль, подключив обычный USB-кабель к диагностическому порту.
Осознав масштаб проблемы, автопроизводители Kia и Hyundai признали недочет и начали оснащать новые модели более надежными системами защиты. Владельцам автомобилей без иммобилайзеров предложили бесплатную установку дополнительной защиты.
Массовая атака на автомобили Kia через веб-портал
В сентябре 2024 года исследователи по безопасности нашли серьезную уязвимость в веб-портале Kia.
Выяснилось, что для удаленного взлома автомобиля хакерам было достаточно лишь знать его номерной знак. Эта уязвимость позволяла злоумышленникам отслеживать местоположение машины, разблокировать двери, активировать сигнализацию и даже запускать двигатель.
Проблема была связана с недостаточной защитой API, обрабатывающего запросы системы, а также отсутствием надежной двухфакторной аутентификации.
Kia оперативно закрыла уязвимость, однако этот инцидент вновь подчеркнул риски, связанные с цифровыми сервисами управления автомобилями.
Уязвимости в информационно-развлекательных системах Skoda
В декабре 2024 года специалисты компании PCAutomotive выявили ряд уязвимостей в информационно-развлекательных системах автомобилей Skoda, в частности, в блоке MIB3 модели Superb III.
Эти уязвимости позволяли злоумышленникам, подключившись через Bluetooth: выполнять произвольный код, получать доступ к GPS-координатам автомобиля, записывать разговоры через встроенный микрофон, делать скриншоты дисплея, воспроизводить звуки в салоне.
Когда специалисты сообщили об этих проблемах, Skoda сразу выпустила обновления, чтобы их исправить.
Как защититься?
Несмотря на то, что автопроизводители должны улучшать киберзащиту, потребители также могут минимизировать риски:
- Обновлять прошивку — регулярно проверять, устанавливать обновления ПО автомобиля.
- Использовать сложные пароли и двухфакторную аутентификацию — стандартные пароли легко взломать.
- Ограничивать передачу данных — избегать связывания лишней личной информации с системами авто.
- Выключать ненужные функции — отключать дистанционный запуск и геолокацию, если они не используются.
- Осторожно использовать Wi-Fi — избегать подключения автомобиля к публичным сетям.
Таким образом, развитие технологий в автомобильной промышленности требует не только инновационных решений, но и внимания к безопасности. Несмотря на то, что автопроизводители активно работают над улучшением защиты, пользователи также должны принимать меры предосторожности, чтобы минимизировать риски, связанные с кибератаками.