Специалист по информационной безопасности Сами Камкар (Samy Kamkar) создал устройство, позволяющее определять местоположение, открывать двери и заводить двигатель автомобилей производства General Motors. С подробным докладом хакер выступит на конференции DEF CON 23, сообщает Wired.
Технология GM OnStar RemoteLink позволяет владельцу управлять некоторыми функциями автомобиля через приложение, установленное на смартфоне. Для перехвата пакетов, которыми обмениваются в это время устройства, Сами Камкар использовал точку доступа Wi-Fi, которую можно, например, спрятать под бампером автомобиля жертвы. По словам специалиста, несмотря на то, что приложение использует шифрование, оно неверно проверяет подлинность сертификатов, благодаря чему возможен полный перехват функций приложения при помощи сниффера. Например, хакер смог определить местоположение машины, разблокировать двери, использовать гудок, отключить сигнализацию и даже завести двигатель.
Несмотря на то, что угнать машину с помощью подобной технологии не выйдет – автомобиль не тронется с места без ключа в замке зажигания – ничто не помешает потенциальному злоумышленнику похитить вещи из салона автомобиля. Кроме того, приложение содержит в себе данные о хозяине, которые тоже могут попасть в руки хакера: электронная почта, домашний адрес и данные кредитной карты.
Согласно данным магазина приложений Google Play, приложение OnStar RemoteLink установлено на более чем миллионе мобильных устройств, что позволяет оценить масштабы уязвимости. Представитель General Motors заявил, что компания уже работает над устранением уязвимости в приложении.
Ранее другой группе специалистов по компьютерной безопасности удалось взломать едущий Jeep, что вынудило концерн Fiat Chrysler Automobiles заявить о масштабном обновлении программного обеспечения с целью устранения уязвимости на 1,4 миллионах автомобилей.