Эксперты «Лаборатории Касперского» Михаил Кузин и Виктор Чебышев опубликовали интересное исследование, посвященное приложениям для современных автомобилей (connected car — автомобили с доступом в интернет). Как известно, в наши дни понятие connected car включает в себя не только инфо-мультимедиа системы на борту, но также подразумевает, что через приложение владелец может контролировать основные системы автомобиля. Фактически, современные приложения позволяют отслеживать координаты автомобиля, его маршрут, открывать двери, запускать двигатель, включать вспомогательные устройства и так далее. Хотя все это бесспорно очень удобно, эксперты давно задаются вопросами безопасности таких решений.
Исследователи пишут, что автомобиль — вещь дорогая, но почему-то разработчики приложений отказываются подходить к безопасности автомобилей так же тщательно, как к безопасности банковского счета. Так, эксперты изучили семь различных Android-приложений известных брендов, чьи названия не раскрываются, оценив их по следующим критериям:
- содержит ли приложение потенциально опасные возможности: можно ли с его помощью угнать автомобиль или вывести из строя одну из его систем;
- использовали ли создатели приложения средства, усложняющие реверс инжиниринг приложения (обфускацию или упаковку);
- есть ли у приложения проверка на наличие root-прав на устройстве (с последующим отказом от установки в случае положительного результата);
- есть ли у приложения проверка, что после его запуска именно его интерфейс показывается пользователю (защита от перекрытия);
- есть ли у приложения контроль целостности, т.е. проверяет ли оно себя на предмет изменений в коде.
Эксперимент показал, что все изученные приложения так или иначе уязвимы. К сожалению, ни одно решение не прошло тест экспертов с хорошим результатом. Сводные итоги тестирования можно увидеть в таблице ниже.
| Приложение | Возможности приложения |
Обфускация кода приложения |
Нешифрованные логин или пароль |
Защита от перекрытия окна приложения |
Есть ли детект прав root |
Проверка целостности приложения |
| Приложение №1 | открытие дверей | нет | да (логин) | нет | нет | нет |
| Приложение №2 | открытие дверей | нет | да (логин и пароль) | нет | нет | нет |
| Приложение №3 | открытие дверей, запуск двигателя | нет | — | нет | нет | нет |
| Приложение №4 | открытие дверей | нет | да (логин) | нет | нет | нет |
| Приложение №5 | открытие дверей, запуск двигателя | нет | да (логин) | нет | нет | нет |
| Приложение №6 | открытие дверей, запуск двигателя | нет | да (логин) | нет | нет | нет |
| Приложение №7 | открытие дверей, запуск двигателя | нет | да (логин и пароль) | нет | нет | нет |
В своем отчете Кузин и Чебышев также разобрали особенности каждого приложения в отдельности. Оказалось, что некоторые приложения можно легко декомпилировать, а код можно разобрать. Разработчики зачастую пренебрегают проверкой целостности кода и забывают про обфускацию. Кроме того, зачастую приложения никак не противодействуют перекрытию собственного интерфейса, а значит, логин и пароль пользователя можно похитить при помощи фишингового приложения, состоящего из 50 строчек кода. Также многие из изученных приложений хранят учетные данные в открытом виде в одном из файлов, наряду с VIN автомобиля. Извлечь эти данные или подменить их, не составит никакого труда.
Исследователи пишут, что обнаруженные «дыры» увеличивают риск угона автомобиля. Конечно, чтобы поехать все же необходимо наличие ключа. То есть современные угонщики, попав внутрь машины, используют блок программирования и записывают в борт управления авто новый ключ. Но почти все изученные приложения позволяют разблокировать двери, то есть снять машину с охранной сигнализации. Таким образом, злоумышленник проделает все подготовительные операции скрытно и быстро, ему не придется ничего ломать или сверлить.
«Также не следует ограничивать риски владельца одним лишь угоном. Получив доступ к авто, его можно испортить так, что жертва попадет в аварию и может получить серьезные травмы или погибнуть, — отмечают специалисты и заключают, — Следует сказать, что пока мы не видели ни одного случая атак на приложения для управления авто, ни один из тысяч обнаруженных нами новых зловредов пока не содержал код для скачивания файлов конфигурации таких приложений. Однако современные троянцы весьма гибкие, если сегодня один такой троянец показывает персистентную рекламу (которую пользователь сам никогда не сможет удалить), то завтра он по команде злоумышленников загрузит на C&C конфигурационный файл от автоприложения. Или удалит его и поставит поверх другое – модифицированное. Как только это станет финансово выгодно злоумышленникам, новые возможности для самых обычных мобильных троянцев не заставят себя ждать».
С полной версией отчета экспертов можно ознакомиться здесь.
