В последнее время тема взлома автомобилей привлекает всё больший интерес со стороны исследователей. Хакеры уже показали, как можно управлять автомобильными компьютерами через CAN-интерфейс, сумели подключиться к операционной системе Ubuntu в автомобилях Tesla и научились управлять с ноутбука различными другими моделями автомобилей.
Но есть и другие способы получить доступ к чужим машинам, как заявляет автор доклада на хакерской конференции Hack In The Box, которая начнётся через неделю в Амстердаме (Нидерланды).
Испанский хакер Хосе Гуасч (Jose Guasch) нашёл бреши в безопасности программного обеспечения, которое используется на автомобильных парковках. Названия конкретных уязвимых программ не называются, по крайней мере, до выступления хакера на конференции.
Взлом парковочного софта, по словам автора, позволяет контролировать парковочные заграждения и дисплеи, копировать банковские данные заплативших за парковку водителей, а также получить парковочное место бесплатно.
Хосе Гуасч, технический координатор экспертной группы Tiger team и редактор сайта SecurityByDefault.com, исследует тему безопасности парковочного софта с 2013 года. В июне прошлого года он связался с испанским подразделением одной из фирм, которая разрабатывает такие программы, и сообщил о найденных уязвимостях, но не получил ответа. Дальнейшие попытки установить с ними в связь в феврале 2015 года тоже потерпели неудачу, так что теперь хакер имеет полное моральное право огласить информацию для широкой публики. Хотя и не всю.
«Некоторые уязвимости настолько просты в эксплуатации и представляют такую большую угрозу для безопасности банковских данных пользователей, что я сохраню их в секрете», — сказал Хосе Гуасч. Например, в открытом доступе лежит незашифрованная папка с ежедневными резервными копиями базы данных за текущий месяц, которые содержат всю информацию о пользователях и автомобилях. Доступ к этой базе может получить любой желающий, без ввода логина и пароля.
К основной базе тоже несложно получить доступ, потому что в программе часто используются пароли по умолчанию ”admin”, “root” или другие легко угадываемые термины.
Хакер выяснил также, что может получить доступ через интернет к парковкам, где установлено ПО данного вендора. Он нашёл более 190 таких парковок, преимущественно в Германии и Великобритании.
