Компьютер на колёсах: как хакеры взламывают электромобили

Как действуют «автохакеры»: три сценария

1. Удалённый угон и взлом аккаунта

Современные электромобили позволяют открывать двери и запускать двигатель через мобильное приложение. Это удобно владельцу, но это наводка для злоумышленника.

Недавний инцидент с телематической системой Subaru Starlink показал, что, зная лишь VIN-номер и минимальные данные, хакеры смогли удалённо завести машину, открыть замки и даже отследить её на карте.

В другом случае исследователи обнаружили брешь в веб-портале Kia: достаточно было узнать номерной знак, чтобы отслеживать местоположение, разблокировать двери и запускать двигатель удалённо через уязвимый API.

В 2020 году бельгийский эксперт Леннарт Вутерс вообще угнал Tesla Model X за 90 секунд, клонировав сигнал ее бесключевого брелока всего за $300.

Этим летом в России несколько владельцев китайских электромобилей Li Auto столкнулись со взломом своих облачных мастер-аккаунтов и требованиями выкупа. Злоумышленники грозились отключить сервисы машины, пока им не заплатят.

2. Утечка данных и слежка

Наши автомобили хранят много личной информации о нас: маршруты, адреса в навигаторе, контакты в телефоне, параметры вождения. Если злоумышленник получает доступ к бортовой системе или облачному сервису машины, он легко может выследить местоположение авто в реальном времени, узнать адрес дома и работу владельца, историю поездок и многое другое.

Более того, некоторые атаки позволяют массово собрать информацию. В упомянутом взломе портала Kia под угрозой оказались данные миллионов машин до устранения уязвимости.

Не стоит забывать и про возможную слежку через незащищённые внешние устройства, например компрометацию зарядной станции или навигатора.

3. Вмешательство в работу навигации и автопилота

Одно дело — украсть машину, другое — заставить её поехать в нужную злоумышленнику сторону или создать аварийную ситуацию, подвергнув риску жизнь владельца.

Исследователи уже не раз показывали, как можно обмануть «глаза и уши» умного авто. Например, эксперты Regulus Cyber в 2019 году с помощью поддельных GPS-сигналов смогли сбить с толку навигацию Tesla Model 3. Автомобиль по указке ложного спутника поехал по неверному маршруту.

В другом нашумевшем эксперименте китайская команда Keen Security Lab нашла способ атаковать нейросеть автопилота Tesla с помощью трёх наклеек на дорожной разметке. Машина «увидела» в этих метках другую траекторию и вырулила прямо на встречную полосу. Преступнику достаточно получить доступ к цифровой системе помощи водителю или просто «обмануть» её сенсоры, чтобы в результате похитить или убить владельца авто.

Как снизить риски владельцу электрокара

Илья Рашкин советует: всегда воспринимайте бортовой компьютер авто так же серьёзно, как свой ноутбук или телефон.

• Регулярно обновляйте программное обеспечение.

Автопроизводители выпускают обновления прошивки не только чтобы добавить новые фишки, но и чтобы закрыть обнаруженные уязвимости. Как только приходит уведомление о доступном обновлении системы, устанавливайте его. Не откладывайте обновления на потом, ведь кибератаки часто нацелены именно на несовершенные старые версии софта.

• Защитите доступ к аккаунту и приложениям. Учётная запись, связанная с вашим автомобилем (например, аккаунт в мобильном приложении Tesla, BYD, CarPlay и т.п.), должна быть под надёжной защитой. Используйте сложный уникальный пароль и по возможности включите двухфакторную аутентификацию. Это предотвратит большинство любительских атак.

Никому не сообщайте свои логины/пароли от автомобильных сервисов, не вводите данные от аккаунта по ссылкам из сомнительных писем или сообщений (хакеры любят слать фишинговые страницы, маскирующиеся под официальные сайты автопроизводителей).

• Меньше лишних данных — меньше проблем.

Постарайтесь не хранить в системе автомобиля много конфиденциальной информации. Например, не загружайте в мультимедиа полный список контактов, не сохраняйте пароли Wi-Fi-сетей, не привязывайте банковские карты, если в этом нет острой необходимости. Навигатору необязательно знать адрес вашего дома. Его можно вбить вручную при каждом вводе или хотя бы не называть точку сохраненного адреса словом «Дом».

Чем меньше личных данных знает ваша машина (а значит, потенциально и злоумышленник при взломе), тем лучше для вашей приватности. При продаже автомобиля обязательно сбросьте настройки до заводских.

• Отключайте функции, которыми не пользуетесь.

Каждая из них — в теории лишняя уязвимость. Если вы, к примеру, никогда не заводите двигатель дистанционно, лучше отключить функцию удалённого запуска в настройках. Не используете встроенный Wi-Fi хот-спот — выключите его. Ограничьте геолокацию, телеметрию и обмен данными с облаком до разумного минимума, который вам действительно нужен. Так вы сократите количество уязвимых подключений до базового минимума.

• Будьте осторожны с подключениями и устройствами.

Старайтесь не подключать машину к публичным незнакомым сетям Wi-Fi, а если это неизбежно — скажем, на зарядной станции требуется соединение, — убедитесь, что сеть официальная и защищена паролем.

Избегайте вставлять в USB-порт автомобиля чужие флешки или гаджеты: через них тоже можно занести вредоносный код. По возможности вообще ограничьте число сторонних устройств, синхронизированных с вашим авто.

И конечно, не оставляйте активными электронные ключи без присмотра. Как мы не даём незнакомцам свой разблокированный телефон, так и не стоит предоставлять никому доступ к умным системам автомобиля.