Исследование со взломом. Часть 1

Исследование со взломом. Часть 1

Привет! Сегодня я расскажу, как исследования приближают к криминалу и возвращают обратно (ну или почти к криминалу, уточним).

Я занимаюсь дизайном с 2008 года. Сначала создавал небольшие проекты, и к 2012 году стал полноценным дизайнером. Успел поработать как в небольших, так и в крупных студиях. Был дизайнером в маркетинговой компании, в корпорациях, например, в ВТБ. Меня даже заносило в компанию, занимающуюся спортивным беттингом — потрясающий опыт. Сейчас работаю в одном известном автостартапе. Но речь пойдёт о моем предыдущем месте работы. Там мы создавали операционную систему для автомобилей на основе Android Automotive (это специализированная версия Android для автомобилей).

Исследование со взломом. Часть 1

Как и многие другие цифровые и не только продукты, мы проводили исследования. Однако особенность заключалась в том, что мы часто выходили «в поле», чтобы наблюдать за работой с продуктом в автомобиле во время движения.

Однажды нам нужно было изучить интерьеры автомобилей, чтобы понять эргономику различных моделей: куда люди смотрят, до чего могут дотянуться и где возникают сложности. Некоторое время мы рассматривали автомобили друзей, знакомых и коллег, заглядывали внутрь машин на стоянках и посещали автовыставки. Однако этого было недостаточно. И тогда мы нашли нестандартное решение — компьютерные игры.

Самой информативной игрой оказалась FORZA Horizon. В ней представлено огромное количество автомобилей, и можно детально рассмотреть каждый, включая интерьер. Кроме того, у нас были очки виртуальной реальности, что добавляло реализма. FORZA – настоящий праздник для автомобильных энтузиастов. Разработчики уделяют огромное внимание деталям интерьеров, делая их максимально приближенными к реальности.

Ещё мы изучали приложения по управлению автомобилями. Некоторые из них открытые, то есть не требуют покупки автомобиля для доступа: вам достаточно пройти простую регистрацию по почте или номеру телефона. Правда, некоторые автопроизводители ушли из России и забрали с собой свои приложения 🙂 В частности, сейчас недоступны Mercedes, BMW и Volkswagen (на момент написания статьи ушло еще несколько приложений). А доступ к некоторым приложениям возможен только после ввода специфических данных автомобиля, например, VIN-номера или номера двигателя.

Тут делаем паузу. На момент событий выходит новый Toyota RAV 4 и с ней новое приложение для управления автомобилем. Машину ещё не привезли в Россию, а посмотреть очень хотелось. Подумал, что, наверное, кто-то уже снял обзор, так как прошла неделя после презентации. Мне повезло: свежий обзор от немца уже был на YouTube. Он был настолько подробным, что автор обзора случайно показал данные этой машины, а именно номер двигателя, что мне и требовалось. Приложение Toyota, как раз, требовало VIN и ввода этих данных для доступа. Я воспользовался этой информацией и без проблем получил доступ к машине. В приложении отображались местоположение автомобиля, маршруты водителя, время в пути, продолжительность простоев, ежедневные маршруты, адрес последнего технического осмотра в автосервисе и др. Если бы мультимедийная система была активирована, теоретически мы бы могли управлять музыкой, просто ее не подключили к приложению. Получился, по сути, случайный взлом. На основании этих данных можно было бы посталкерить владельца машины. Но мы законопослушны и внимательны — историю своего входа мы зачистили.

Скриншоты приложения и скриншот из видео из которого удалось взять данные для авторизации
Скриншоты приложения и скриншот из видео из которого удалось взять данные для авторизации
Исследование со взломом. Часть 1
Исследование со взломом. Часть 1
Исследование со взломом. Часть 1

Естественно, мы написали репорт в Toyota на русском и английском языках, объяснили наши действия, приложили скриншот из YouTube и предложили рекомендации по улучшению безопасности в плане расширения регистрационных и личных данных. От Toyota ответа не последовало. Через 2-3 месяца после нашего репорта приложение в Google Play было обновлено, но возможность такой простой регистрации осталась. Прошло более полутора лет, можно ли также войти в данное приложение?)

Исследование со взломом. Часть 1

Итого: внимательно следите за тем, где и какие данные вы оставляете в публичном пространстве. Даже маленький фрагмент важных данных может дать злоумышленникам доступ к ценной информации, вашим маршрутам передвижения или домашнему адресу.

Если вам интересны новости о машинах и дизайне в них, подписывайтесь на мой уютный канал «Фара Ферарри» https://t.me/faraferrari

UPD: Скоро опубликую заметку о том, как автомобили собирают данные про нас.

3
1 комментарий

Подписался ради сбора данных

3
Ответить