Что может рассказать о вас подключённый автомобиль?

Разработчики приложений должны нести ответственность за безопасность пользовательских данных, утверждает Алехандро Эрнандес – консультант по безопасности компании IOActive. 

Смартфон в наши дни стал «центральным командным центром» в жизни многих людей. Исследование прошлого года показало, что в среднем на телефоне пользователя установлено 67 приложений. При этом большинство людей особенно не задумываются о том, какие данные содержат эти приложения или насколько хорошо они защищены. Эксперт решил выяснить, шифрует ли мобильное приложение для автомобиля содержащиеся в нём данные и к какой информации злоумышленники могут получить доступ, если смогут проникнуть в телефон, сообщается на сайте онлайн-сообщества Dark Reading.

Многие приложения содержат конфиденциальную или личную информацию, которую хотелось бы защитить от несанкционированного доступа. Некоторые из них более очевидны – например, банковские и финансовые приложения, медицинские данные. Но многие приложения хранят информацию, которая кажется безобидной и всё же может дать подсказки, которые будет рад использовать злоумышленник. Важно, чтобы приложения, которым мы доверяем эту информацию, предпринимали соответствующие шаги для её шифрования и защиты от взлома. 

Так, Эрнандес использует в своём автомобиле приложение BMW ConnectedDrive. Оно включает в себя множество функций: например, может удалённо блокировать или разблокировать автомобиль, выполнять отслеживание местоположения, включать фары или звуковой сигнал, настраивать или активировать функции климат-контроля, отслеживать пункты назначения через навигационную систему, докладывать, открыты или закрыты двери и окна, а также сообщать текущий уровень топлива.

Многие из этих вещей могут не иметь большой ценности или представлять большую угрозу безопасности. Но никто не хочет, чтобы неавторизованный пользователь знал места назначения, которые вы чаще всего посещаете, или мог использовать отслеживание местоположения, чтобы узнать, где находится автомобиль в данный момент.

Используя несколько основных инструментов, эксперт относительно легко смог обнаружить незашифрованные данные в приложении BMW. Когда автомобили были добавлены и аутентифицированы с помощью приложения, он заметил, что данные хранились в кодировке base-64, но не в зашифрованном виде, а в файлах .plist.

Используя программное обеспечение plistutil на машине Ubuntu Linux 19.10, он смог получить доступ к данным с помощью других инструментов командной строки и вырезать пустые строки и пробелы, чтобы упростить расшифровку раскрываемой информации. Он без труда определил адреса своих любимых мест, а также недавние навигационные указания, отправленные автомобилю. Он также мог видеть пробег автомобиля и остаток топлива, VIN и модель автомобиля и даже фотографию модели и цвета автомобиля.

Эти вещи могут показаться не такими уж важными. Это не похоже на то, что злоумышленник может использовать данные в этом приложении, чтобы сбить вашу машину с дороги или сделать что-то прямо-таки совсем гнусное. Однако информацию, полученную из незашифрованных данных в приложении BMW ConnectedDrive, можно использовать для преследования или отслеживания кого-либо – чтобы точно знать, куда они ушли и где они, скорее всего, будут, – и точно определить транспортное средство, когда они его найдут.

Стоит отметить, что злоумышленнику потребуется физический доступ к вашему устройству или, возможно, к компьютеру, на котором ваш смартфон аутентифицирован и которому он доверяет. Когда телефон подключён и аутентифицирован, злоумышленник потенциально может извлечь данные из его приложений через компьютер.

Разработчикам приложений важно брать на себя ответственность за данные, которые они просят пользователей доверять своим приложениям. А начинается всё с того, что мы не полагаемся на средства управления безопасностью самой операционной системы и предпринимаем шаги для шифрования данных, хранящихся в приложении, изначально или отдельно от любой защиты, которую может обеспечить операционная система.

Как конечный пользователь, вы можете сделать очень многое для защиты своих данных. Вы можете выполнить некую домашнюю работу и попытаться выбрать только те приложения, которые не оставляют данные в незашифрованном виде. Но у нас не всегда есть выбор. Для дополнительной защиты не стоит подключать свой смартфон к общей рабочей станции, к которой могут иметь доступ другие, а аутентифицировать своё мобильное устройство только на проверенных компьютерах. Нужно выбрать сложные пароли и PIN-коды, чтобы максимально затруднить несанкционированный доступ.

В ответ на представленные замечания, которые он отправил автопроизводителю, BMW Group опубликовала следующее заявление:

«Благодаря уведомлению Алехандро Эрнандеса из IOActive через наш ответственный канал раскрытия информации, мы смогли изменить способ работы с кешем данных приложения. Наша команда разработчиков приложений добавила этап шифрования, который использует безопасный анклав устройств Apple, по адресу которого мы генерируем ключ, использующийся для хранения избранных и метаданных автомобилей, которые удалось извлечь Алехандро».

Подписывайтесь на журнал «Вестник ГЛОНАСС» и навигационный канал на TamTam