Новые разработки всегда вызывают интерес не только у добропорядочных граждан, но и у киберпреступников. В частности, злоумышленники не прочь поплотнее поработать с девайсами "интернета вещей". Их вполне можно понять, ведь уязвимости в софте для автомобилей, дверных замков и даже термостатов могут открыть большой простор для преступной деятельности.
Мы обнаружили
интересный пост, в котором довольно подробно описываются угрозы безопасности, с которыми могут столкнуться владельцы автомобилей Tesla.
Слабые пароли
После покупки электромобиля владелец может взаимодействовать с ним (открывать, закрывать, проверять уровень заряда) с помощью приложения для iPhone. При создании аккаунта на сайте
teslamotors.com (обязательная процедура для покупки машины), который затем используется для входа в приложение, длина пароля должна составлять не менее восьми символов (включая минимум одну цифру и одну букву).
Учитывая тот факт, что подавляющее большинство пользователей не станет заморачиваться с придумыванием действительно сложного пароля, мы получаем возможность для проведения целого ряда атак.
- Брутфорс-атаки. Не похоже, чтобы на сайте Tesla были установлены какие-либо ограничения на число попыток входа в систему. Получается, что хакер может просто набросто подобрать пароль — существует довольно большое количество средств для брутфорса, которыми умеют пользоваться даже школьники, ищущие приключений. После кражи пароля ничто не помешает злоумышленнику залогиниться в приложении.
- Фишинг-атаки. Единственный инструмент контроля над приложением Tesla — это пароль, украсть который с помощью фишинга не так уж и сложно. После получения этих данных можно, например, узнать местоположение автомобиля, привязанного к аккаунту, а затем открыть его.
- Атаки вредоносного софта. Если украсть пароль от конкретного аккаунта настолько легко, то что может помешать хакеру собрать целый ботнет из контролируемых автомобилей Tesla?
- Утечки паролей. Проблема стара, как мир, но лучше ситуация не становится — пользователи просто обожают использовать один и тот же пароль на разных сайтах. Учитывая тот факт, что владельцы машин Tesla люди небедные, то получить доступ, скажем, к их почте, а через нее к другим аккаунтам — довольно перспективное дело в плане незаконной наживы.
- Социальная инженерия и сотрудники Tesla. Техподержка Tesla имеет удаленный доступ ко всем автомобилям, так что преступники могут просто-напросто обмануть сотрудников компании, выдав себя за пользователя, забывшего пароль. Если вы думаете, что это нереально, почитайте о том, как доверчивость работников PayPal и GoDaddy привела к тому, что человек потерял юзернейм в Twitter стоимостью в $50 тысяч.
- Атаки через электронную почту. Аккаунт приложения Tesla привязан к email, так что любой, у кого есть доступ к ящику, сможет сменить пароль и захватить управление автомобилем. Еще раз напомним, что электрокар стоит целую кучу денег, и в его салоне можно запросто встретить лежащий MacBook или какой-нибудь другой дорогой гаджет.
Все эти угрозы довольно стандартны, но не менее реальны. Кроме того, даже создав отдельный почтовый ящик под аккаунт Tesla и придумав сложный уникальный пароль, владельцы электромобилей вовсе не решат всех проблем с безопасностью.
Шэринг данных через REST API
Для того, чтобы общаться с машиной и посылать ей команды, приложение использует REST API. Его использование третьими сторонами не подразумевалось, однако некоторые приложения, тем не менее, уже это делают.
В качестве примера можно привести приложение Tesla для Google Glass, с помощью которого можно также управлять машиной и мониторить ее состояние. Чтобы начать пользоваться приложением, его нужно авторизовать, открыв тем самым доступ к учетным данным сайта Tesla.
Таким образом, логин и пароль пользователя отправляются на teslaglass.appspot.com, и ничто не помешает и другим приложениям запросить ту же информацию. Это влечет следующие угрозы:
- Зловредные приложения могут быть созданы хакерами с целью незаконного сбора данных владельцев машин Tesla.
- Уязвимости сторонней инфраструктуры. Сами сторонние приложения могут быть вполне благонадежны, но уязвимости в них могут также позволить хакерам украсть учетные данные пользователей.
Элон Маск подтвердил планы своей компании рано или поздно выпустить SDK для разработчиков, но пока что владельцам машин рекомендуется не пользоваться сторонними приложениями.
Перехват данных
Tesla соединяется с приложением через 3G и по WiFi. Исследователям информационной безопасности удалось выяснить, что когда Model S настроена для работы по WiFi, то устанавливается исходящее соединение на определенный IP-адрес в сети Tesla по протоколу OpenVPN, взломав которое, злоумышленники могут получить сведения о внутренней сети. Пока непонятно, как именно она построена и что им даст факт такого проникновения, — но звоночек тревожный.
Помимо этого, в Model S на приборной панели есть коннектор, к которому можно подключить ноутбук. Благодаря этой возможности, исследователям также удалось узнать кое-какую информацию о внутренней сети компании. Кроме того, они выяснили, что машина "общается" с сетью Tesla по протоколу UDP, правда, понять, передается ли таким образом какая-то информация, важная с точки зрения безопасности, не удалось. Тем не менее, возможность проникновения во внутреннюю сеть с помощью простого подключения ноутбука выглядит довольно настораживающе.
Выводы
Несмотря на то, что Tesla Model S — это отличная и современная машина, компании еще есть, над чем поработать в плане ее безопасности, а владельцам не стоит расслабляться только лишь потому, что они купили электрокар за много тысяч долларов. В случае автомобиля привычной защиты паролем, как на компьютерах, недостаточно — здесь речь идет о физической безопасности людей и всего их имущества, которое находится в автомобиле.
Обнаруженные исследователями возможные пути атак и, самое главное, те проблемы, к которым их реализация может привести, заставляют взглянуть на вопросы безопасности Tesla со всей серьезностью. Все-таки одно дело суметь сломать прошивку обычной машины — это не дает толком ничего, — и совсем другое дело — возможность открыть машину или обнаружить её на карте.
С другой стороны, Элон Маск вопросы информационной безопасности наверняка не станет обходить стороной.