Teraz to już nie są te same samochody, co kiedyś, czyli historia o tym, jak branża motoryzacyjna podatnościami stoi. W samochodzie połączonym z telefonem zostaje więcej informacji niż nam się wydaje.
Dożyliśmy czasów, w których można podłączyć się zdalnie do samochodu z odległości kilku kilometrów i przejąć nad nim kontrolę, a kradzież auta – według najczarniejszego scenariusza – jest nie tylko problemem z mobilnością i stratą pieniędzy, ale może równać się utracie tożsamości. Pęd do nowoczesnych technologii wprowadzanych przez producentów w celu zwiększenia komfortu kierującego pojazdem jest ogromny, producenci prześcigają się w udostępnianiu nowości. Jednak powoduje to, że powstają luki, które można wykorzystać. Stąd warto zapoznać się z przedstawionymi historiami, które pozwolą wyrobić własny pogląd na kwestie nowoczesnych technologii w samochodach, choć na pierwszy rzut oka wygląda, że parowanie telefonu i samochodu nie jest dobrym rozwiązaniem.
Do wprowadzenia autonomicznych samochodów na drogi jeszcze trochę brakuje, ale już teraz mamy ich namiastkę w postaci aktywnych tempomatów, systemów wspomagających jazdę (typu asystent zmiany pasa ruchu), ostrzeżeń o zbliżającym się do nas pojeździe i wiele innych. Ciekawym rozwiązaniem są aplikacje do zarządzania własnym samochodem, które nie tylko pokażą nam ostatnie przejazdy czy średnie spalanie, ale również pozwolą otworzyć drzwi do auta czy ustawić odpowiedni poziom klimatyzacji. Ostatecznie i tak, przy sprzedaży, jest z tym więcej kłopotów niż pożytku.
Pamiętaj o odłączeniu samochodu od telefonu
Praktycznie wszystkie nowe samochody mają już wbudowane zestawy głośnomówiące, a co za tym idzie możliwość sparowania prywatnego telefonu, lecz gdyby komuś było mało, to coraz więcej marek tworzy aplikacje do zarządzania swoim samochodem. Co rodzi potencjalne ryzyko.
Uzyskanie bazy kontaktów zapisanych w telefonie – taką możliwość mają już praktycznie wszystkie zestawy głośnomówiące, zaczynając od fabrycznych, a kończąc na radiach dokładanych przez właścicieli. Takie rozwiązania są na porządku dziennym, gdyż łatwiej wtedy wykonać połączenie – nie trzeba ryzykować mandatem, wyjmując telefon, a wystarczy jedynie wybrać kontakt z poziomu kierownicy lub sterując radiem. Producenci poszli o krok dalej i wprowadzają nowe możliwości, czyli aplikacje do zarządzania samochodem.
Jednym z „uboższych” rozwiązań do sterowania autem jest MyPeugeot od francuskiego producenta. Z poziomu aplikacji możemy jedynie zobaczyć statystyki przejazdów (średnie spalanie, średnią prędkość), trasy przejazdów na mapie i pokonaną odległość czy ostatnią pozycję samochodu. Do rejestracji, aby móc sparować telefon z samochodem, wymagane jest imię, nazwisko, numer VIN oraz adres e-mail. Po połączeniu poprzez bluetooth lub za pomocą kabla dane są synchronizowane – telefon pobiera informacje zapisane w aucie. Jednak łączenie przewodowe daje więcej możliwości. W przypadku systemów iOS pozwala na sterowanie częścią aplikacji dostępnych z poziomu CarPlay, a co za tym idzie więcej danych może zostać zapamiętanych w pojeździe.
A co jeśli poprzedni właściciel nie odłączy
Interesującym przykładem problemów łączenia telefonu z samochodem jest historia Matta Wattsa, która nie znalazła jeszcze rozwiązania… Strony przerzucają się odpowiedzialnością i nic sensownego z tego nie wynika. Użytkownicy urządzeń Apple’a przed sprzedażą sprzętu muszą odłączyć swoje konto od telefonu/tabletu/komputera, podobnie sytuacja ma się z samochodami firmy Jaguar Land Rover. Jednak w tym drugim przypadku nikt się jeszcze do tego nie przyzwyczaił. Przekonał się o tym Matt Watts, który zakupił z drugiej ręki używanego Range Rovera – próba podłączenia aplikacji zainstalowanej w jego telefonie zakończyła się fiaskiem.
Aby móc sparować samochód i aplikację, należało założyć konto i podać osiem ostatnich znaków numeru VIN – proces rejestracji podobny do tego stosowanego w rozwiązaniu od marki Peugeot. Podczas próby Watts otrzymał komunikat, że jego samochód jest już przypisany do innej aplikacji i nie można go teraz połączyć. Wielu kierowców zapewne w tym momencie odpuściłoby, lecz w tym przypadku tak się nie stało. Wspomniany nowy właściciel sam siebie określa jako geeka i zależało mu na korzystaniu z udogodnień, jakie dostarcza aplikacja. Ze swoim problemem zgłosił się do dealera samochodowego, od którego usłyszał, że… we własnym zakresie musi skontaktować się z poprzednim właścicielem oraz jest sam sobie winien, gdyż kupił auto od niezależnego sprzedawcy, który nie zawsze przestrzega zasad czy procedur sprzedaży, tak jak oficjalne salony.
Próbując rozwiązać problem, Matt Watts opisał swoją historię na blogu. W jednym z komentarzy pod wpisem odezwał się anonimowy użytkownik, który jakiś czas temu również sprzedawał Land Rovera u holenderskiego dealera i potwierdził, że nadal ma pełną kontrolę nad samochodem. Co to oznacza? Nieuprawniona osoba może mieć zdalny dostęp do danych zapisanych w pojeździe, przeglądać historię przejazdów, zarządzać klimatyzacją, włączyć alarm czy odblokować drzwi. Szczegółowe badania na temat aplikacji do zarządzania swoim samochodem i ciekawe wnioski zostały opublikowane na blogu SecureList prowadzonym przez firmę Kaspersky Lab – można się z nimi zapoznać w tym miejscu.
The Register wysłał zapytanie do oficjalnego sprzedawcy, firmy Jaguar Land Rover, chcąc uzyskać komentarz zarówno w tej sprawie, jak i odnośnie konsekwencji związanych z RODO. Odpowiedź była lakoniczna. W telegraficznym skrócie – prywatność klientów jest najważniejsza, ciągle doskonalimy procesy, czyli standardowa formułka marketingowa. Jak na razie sprawa Matta Wattsa nie została ostatecznie rozwiązana.
Rosnąca popularność carsharingu
Zaraz po rowerze publicznym do większych miast Polski zawitały usługi współdzielenia skuterów, a teraz oferta jest rozszerzana o sieć samochodową. Całkiem ciekawe rozwiązania, które umożliwiają swobodniejsze i łatwiejsze poruszanie się po mieście, a często też są bardziej ekologiczne. Abstrahując od przypadków nadużyć, jakie generują takie rozwiązania, szczególnie w przypadku carsharingu, np. możliwości rejestrowania się osób nieposiadających prawa jazdy bądź korzystających z cudzej aplikacji, o czym szerzej pisaliśmy tutaj, specjaliści ds. bezpieczeństwa informacji postanowili zbadać podatności występujących w samych aplikacjach wykorzystywanych do współdzielenia samochodów.
Według danych za rok 2017 w Moskwie liczba użytkowników oraz ich przejazdów podwoiła się. W Polsce największa firma dostarczająca samochody posiada 40 tysięcy zarejestrowanych użytkowników (są to dane również z poprzedniego roku). Szybko rozrastająca się sieć carsharingu powoduje, że staje się ona łakomym kąskiem dla złodziei, bo kto nie chciałby się przejechać nowym samochodem za nieswoje pieniądze… Ponadto wyciek danych z używanych przez tego typu usługodawców aplikacji może być zagrożeniem dla naszej prywatności i tożsamości. Aby zarejestrować się w aplikacji i móc korzystać z samochodów, trzeba podać bardzo dużo danych, które są potrzebne do weryfikacji użytkownika. Aby pozytywnie przejść proces, należy wprowadzić swoje imię, nazwisko, adres zamieszkania, adres e-mail, numer telefonu, do tego przesłać skan obu stron prawa jazdy, następnie podpiąć kartę bankomatową (w tym miejscu warto podkreślić, że można podpinać również wirtualne karty). Taka ilość informacji generuje ogromne ryzyko utraty tożsamości przy wycieku danych, o czym już jakiś czas temu przekonał się Uber.
Eksperci z Kaspersky Lab zbadali kilka wektorów ataku na aplikacje do carsharingu (badania dotyczyły 13 różnych aplikacji dostępnych na platformę Android):
- Kradzież telefonu – najłatwiejszy do pomyślenia, lecz najmniej prawdopodobny ze względu na szybkie ryzyko wykrycia. Pierwszy przejazd może i złodziejowi się uda, lecz przy próbie kolejnego zostanie nakryty na gorącym uczynku.
- Sprzedaż skradzionych kont użytkowników – bardziej prawdopodobna opcja, szczególnie dla osób, które nie posiadają prawa jazdy (choć jak wiadomo z wcześniej wspomnianego artykułu na naszej stronie, jest to do obejścia) lub z jakichś przyczyn odmówiono im rejestracji. Tego typu oferty już się pojawiają w czeluściach internetu.
- Uprawnienia superusera – tylko jedna z trzynastu aplikacji została odpowiednio zabezpieczona przed inżynierią wsteczną (ang. reverse engineering), wszystkie miały natomiast problem z wykryciem rootowania (uzyskania przez potencjalnego atakującego uprawnień administratora na danym urządzeniu). Każda aplikacja pozytywnie przechodziła proces rejestracji i uzyskiwała akceptację serwera dostawcy mimo wyższych niż normalnie uprawnień.
- Nazwa użytkownika i hasło – połowa testowanych aplikacji nie pozwalała na tworzenie własnych nazw użytkowników. Do logowania wymagany był numer telefonu oraz PIN, który był wysyłany SMS-em. Numer telefonu ofiary w dość łatwy sposób można uzyskać z mediów społecznościowych. Przechwycenie SMS-a dla kogoś zaznajomionego z tematem również nie jest trudnym zadaniem
- Atak MITM – mimo że wszystkie aplikacje używają protokołu HTTPS do komunikacji, można nawiązać z nimi kontakt poprzez podstawienie certyfikatu serwera, gdyż żadna z nich nie weryfikuje jego poprawności.
Bardziej szczegółowy opis badań badaczy z Kaspersky Lab dostępny jest tutaj. W ramach podsumowania przedstawili oni kilka rad dla użytkowników korzystających z aplikacji do wypożyczania samochodów:
- nie udostępniaj swojego numeru telefonu publicznie (to samo dotyczy adresu e-mail),
- używaj oddzielnej karty bankomatowej do płatności online i nie przechowuj na niej więcej gotówki niż to wymagane,
- nie używaj zrootowanych urządzeń mobilnych,
- wykorzystuj rozwiązania bezpieczeństwa uniemożliwiające przechwycenie SMS-ów.
Firma GoGet, która świadczy usługi carsharingu w Walii przekonała się na własnej skórze o podatnościach aplikacji na atak. Na przełomie maja i czerwca 2017 roku jeden z użytkowników wykorzystał lukę w aplikacji, dzięki której miał dostęp do bazy danych klientów. W wyniku tego ponad trzydzieści razy skorzystał za darmo z przejazdów, lecz na szczęście szybko zostało to wykryte przez właściciela (w drugiej części czerwca) i zgłoszone na policję. Według firmy Norton wspomniany wyciek danych można porównać do sprawy Ubera sprzed kilku miesięcy. Dzięki dobrej współpracy firmy GoGet i walijskiej policji szybko udało się złapać sprawcę, jak również powiadomić użytkowników o możliwości naruszenia ich prywatności. Choć organy ścigania pochwaliły organizację za proaktywne podejście do incydentu, to można mieć mieszanie uczucia co do zdarzenia, gdyż rozesłanie informacji zajęło im aż siedem miesięcy.
Podsumowanie
Wszystkie opisane wyżej sytuacje pokazują, że ryzyka związane z prywatnością czy ochroną danych zwiększają się wraz ze wzrostem liczby urządzeń podpiętych do internetu rzeczy (IoT). Kiedyś to było nie do pomyślenia, by zarządzać swoim samochodem z poziomu telefonu, a dzisiaj coraz więcej marek wprowadza takie rozwiązania. Z jednej strony udogodnienie, z drugiej zaś przekleństwo prywatności i kolejna możliwość do inwigilacji poczynań użytkownika.
Warto czasem z dystansem podejść do kwestii sprzętu podłączanego do internetu, gdyż może to sprawić sporo problemów i nieść ze sobą ryzyko naruszenia prywatności – jak w przypadku historii opisanej przez Matta Wattsa, ale dla przeciwwagi inteligentny sprzęt może ratować życie, jak w przytoczonych wcześniej przykładach dotyczących smartwatchy. W końcu wszystko jest dla ludzi, ale z umiarem…
Komentarze
Tytuł sugerował, że artykuł będzie dotyczył funkcji connected w samochodach, a w zasadzie większość jest poświęcona aplikacjom i usługom carsharingu. Czuję się scklcikbaitowany.
Dzięki za uwagę, następnym razem postaram się o lepszy tytuł. :) Tutaj w trakcie pisania artykułu ten najbardziej mi pasował – miał głównie nawiązywać do części o aplikacjach do zarządzania samochodami. Mimo wszystko trochę też pasuje do carsharingu, jeśli pojęcie „samochód” odpowiednio szeroko potraktujemy.
Niemniej rozumiem Twój punkt widzenia. Następnym razem będzie lepiej. :)
Dzięki.
„Nie uzywaj zrootowabych urządzen mobilnych” – czy tak trudno ustawic odpowiednie zabezpieczenie aplikacji nadajacej uprawnienia superusera?
U mnie trzeba wprowadzic odcisk palca + tajna fraze aby dostac sie do apli supersu
Bardzo łatwo. XPrivacy i zaznaczamy sekcję „powłoka” w globalnym szablonie.
Kolega miał iPhona i stracił tak zdjęcia z wakacji :-)
Poprzedni właściciel wyczyścił wszystko zdalnie :P
Ostatnio na wakacjach miałem okazję dostać samochód z Android Auto. Oczywiście używałem, bajer fajny, wyświetlacz wujowy, ale zaczep wziąłem ze sobą do napędu CD, więc innej opcji nie było. Google już na starcie informowało, że dane gromadzi, i żeby je wyczyścić przed oddaniem samochodu. Przy zdaniu użyłem standardowego „do fabrycznych”. Czy coś mi grozi?
Po za tematem, autonomiczne pojazdy.
Ciagnik Case IH
https://www.youtube.com/watch?v=wuGoGP6hYbg
Ciagnik ze sterowaniem Gotrack GPS
https://www.youtube.com/watch?v=Mz2xYgYuXyI
Samochod Tesla
https://www.youtube.com/watch?v=AefXjhvRLO4
Ciezarowki
https://www.youtube.com/watch?v=xqpNZQTi0Ls
Autobusik :)
https://www.youtube.com/watch?v=FOFjUjx9ri8