Некоторые автомобили Volkswagen имеют удаленные информационно-развлекательные системы

Некоторые автомобили Volkswagen имеют удаленные информационно-развлекательные системы

За последние годы автопроизводители начали интегрировать некоторые довольно привлекательные информационно-развлекательные системы, некоторые из которых могут даже работать с вашим телефоном для доступа к приложениям и мультимедиа на ходу. Предполагается, что эти дисплеи будут защищены от остальной части автомобиля. Но исследователи безопасности говорят, что некоторые автомобили Volkswagen имеют информационно-развлекательные системы, которые обеспечивают доступ как к персональным данным, так и, возможно, к автомобильным функциям посредством удаленного взлома.

Большая часть атаки вписывается в категорию «раздражающих, но выживающих». Исследователи Computest Даан Кеупер и Тийз Алкемайд обнаружили ошибку в автомобилях VW, в которых работают информационно-развлекательные системы Discover Pro, в частности Golf GTE и Audi A3 e-tron. Уязвимость заключается в головных устройствах, которые производятся Harman. Порт остался открытым, что позволяет удаленный доступ к системе через Wi-Fi. Когда вы находитесь, почти ничего не мешает вам контролировать систему развлекательных систем.

По мнению исследователей, они могут управлять динамиками, изменять то, что отображается на дисплее, и включать и выключать систему. Можно даже включить микрофон и подслушать водителя и пассажиров. Система, основанная на Nvidia Tegra 2 SoC и работающем QNX, также обрабатывает задачи декодирования и радиоприемник автомобиля. Итак, это тоже честная игра. Вы могли бы ехать, и внезапно ваш автомобиль начнет взрываться «Никогда не откажусь от вас».

Некоторые автомобили Volkswagen имеют удаленные информационно-развлекательные системы

Сначала исследователи думали, что они только прочитали доступ к хранилищу автомобиля, но, оказывается, они тоже могли писать файлы. Это открывает совершенно новый мир атак на выполнение кода. Keuper и Alkemade полагают, что можно будет отправлять команды через RCC (блок управления автомобилем), чтобы обойти брандмауэр между информационно-развлекательной системой и функциональностью автомобиля. Однако это потребует от них физического компрометации защитного чипа, защищенного интеллектуальной собственностью. Это, вероятно, было бы незаконным, поэтому они прекратили свое расследование на тот момент.

Keuper и Alkemade предупредили Volkswagen об уязвимости прошлым летом, и автопроизводитель недавно подтвердил результаты. Volkswagen говорит, что он создал исправленную версию программного обеспечения информационно-развлекательной системы, которое загружается на новые автомобили. Тем не менее, нет возможности удаленно удалять автомобили, которые уже запускают взломанную версию. Владельцам придется обратиться в дилерские центры, чтобы установить новое программное обеспечение. Обновления безопасности на автомобиле не являются высокоприоритетными, поэтому маловероятно, что большинство сервисных центров даже поймут, что есть удаленный хак для затронутых автомобилей.

Читать далее

Серьезные атаки Rowhammer теперь могут быть удалены удаленно
Серьезные атаки Rowhammer теперь могут быть удалены удаленно

Методы размывания памяти, используемые для локальных атак, теперь можно запускать удаленно, без необходимости повышения привилегий или прямого доступа к системе.

Поставщик голосовой машины допускает установку программного обеспечения удаленного доступа в государственных системах
Поставщик голосовой машины допускает установку программного обеспечения удаленного доступа в государственных системах

В феврале крупный поставщик электронного голосования заявил, что никогда не поставлял программное обеспечение удаленного доступа ни на одну из своих систем. Он лгал - и это не самая важная часть истории.

Вредоносные USB-кабели встраивают Wi-Fi, могут удаленно управлять подключенным ПК
Вредоносные USB-кабели встраивают Wi-Fi, могут удаленно управлять подключенным ПК

Забудьте о плохих USB-накопителях - теперь нам нужно беспокоиться о загруженных вредоносным ПО USB-кабелях.