A biztonsági cég kutatói megállapítják: az autórajongók jelenleg kétféle módon juthatnak hozzá csatlakoztatott autóhoz: egy „eleve okos” kocsit vásárolnak, vagy különféle „okos eszközökkel” feljavítják a már meglévő gépjárművet. Bár a vezetési élmény mindkét módszerrel fokozható, az okos technológia egy teljesen új területet nyit meg a rossz szándékú felhasználás előtt, mint erre a média és a Kaspersky saját kutatásai is már többször rámutattak. A jelenség elkerülhetetlen: amint egy technológiai elem alapvetővé válik, a hozzá kapcsolódó biztonsági problémák is megszaporodnak.
Na és, mi a helyzet?
A fentieket figyelembe véve a Kaspersky kutatói nekiláttak megvizsgálni, hogy ezek az IoT-eszközök biztonságával foglalkozó jelentések hatottak-e bármilyen módon is az autóipar számára okoseszközöket készítő gyártókra. A kutatók több szúrópróbaszerűen kiválasztott eszközt elemeztek, többek között egy OBD diagnosztikai szkennert, egy gumiabroncsnyomás- és hőmérsékletellenőrző rendszert, egy okos riasztórendszert, egy GPS nyomkövetőt és egy alkalmazás-vezérelt fedélzeti kamerát.
Az eredmények kellemes meglepetést okoztak: míg az IoT iparágat gyakorta sérülékenynek tartják, addig ezek az autóiparhoz köthető okos és hálózatba kapcsolt eszközök meglehetősen biztonságosnak bizonyultak, a szakemberek semmilyen komoly sérülékenységet nem tártak fel. Ugyanakkor több biztonsági problémára is fény derült: a szkenneren keresztül például távolról hozzá lehetett férni a vezetésdinamikai adatokhoz, az abroncsnyomás-ellenőrző rendszerből érkező jeleket manipulálni lehetett, és ami a legriasztóbb volt: a riasztórendszerrel ki lehetett nyitni a jármű ajtaját. Ezek a műveletek azonban vagy nagyon nehezen valósíthatók meg, vagy nem hoznak kézzelfogható vagy azonnali eredményt a bűnözők számára.
„Az általunk vizsgált eszközök számos biztonsági irányelvnek megfeleltek, és néhány kisebb probléma kivételével kellőképpen biztonságosak voltak. Ez részben az említett eszközök limitált funkcionalitásának volt betudható, részben pedig annak, hogy a termékeken keresztül végrehajtott sikeres támadás nem jár komoly következményekkel – de természetesen a gyártók ébersége is nagyban hozzájárult a jó eredményekhez. Örömmel láttuk, hogy erőfeszítéseket tettek az eszközök biztonságosabbá tételéért, ami jó jelnek tekinthető az autóipar egésze szempontjából. Azonban még így sem dőlhetnek nyugodtan hátra: tapasztalataink szerint minél okosabb egy eszköz, annál nagyobb az esélye a biztonsági problémák előfordulásának. Ezért kell már a termékfejlesztés korai szakaszában is nagyobb figyelmet fordítani a biztonságra, különösen most, amikor az okos eszközök egy új generációja jelenik meg a piacon” – mondta Viktor Csebisev, a Kaspersky biztonsági szakértője.
Az autóokosító eszközök még biztonságosabbá tételéhez a Kaspersky a következőket tanácsolja:
- Amikor döntést hoz arról, hogy a járműve mely részét teszi egy kicsit okosabbá, először vegye figyelembe a biztonsági kockázatokat. Gondolja meg kétszer is a vásárlást, ha az eszköznek az autó telemetria-adataihoz van valami köze, vagy ha hozzáfér a jármű „agyához”.
- Egy adott eszköz beszerzése előtt böngésszen az interneten, keressen híreket az esetleges sérülékenységekkel kapcsolatban. Valószínű, hogy a megvásárolni kívánt eszközt már vizsgálták biztonsági szakértők, így meg lehet tudni, hogy találtak-e problémát az eszközben, vagy hogy a talált hibákat kijavították-e már.
- Nem mindig a legjobb ötlet a piacra frissen kikerült legújabb termékek megvásárlása. Az új termékekben gyakorta felfedezett standard hibák mellett a nemrégiben piacra dobott eszközökben lehetnek olyan biztonsági problémák is, amelyeket a biztonsági kutatók még nem fedeztek fel. A legjobb, ha olyan termékeket vásárol, amelyek már több szoftverfrissítésen is átestek.
- Mindig vegye figyelembe az eszköz „mobil dimenziójának” biztonságosságát, különösen akkor, ha androidos eszköze van – az alkalmazások gyakorta hasznosak és megkönnyítik az életet, de ha egy okostelefont megtámad egy rosszindulatú vírus, akkor sok minden félresikerülhet.
A teljes jelentés a Securelist weblapon olvasható.