Hackeri de mașini: Securitatea cibernetică în era mașinilor mereu conectate

Pe măsură ce integrează numeroase aplicații software și opțiuni de conectare la internet, mașinile încep să devină o țintă atractivă pentru atacatorii cibernetici, care au demonstrat deja că pot prelua controlul unor vehicule de la distanță. Experții în securitate au câteva sfaturi pentru a limita riscul de a deveni victima unui astfel de atac.

Nu am atins nimic de pe planșa de bord, dar ventilatoarele au început să împrăștie aer rece la setarea maximă, iar postul de radio s-a comutat pe un post cu muzică hip-hop cu volumul la maxim. Am încercat să opresc motorul, dar nu s-a întâmplat nimic. Apoi ștergătoarele au pornit brusc și au împrăștiat atât de mult lichid încât vederea prin parbriz a devenit încețoșată. 

Jurnalistul Andy Greenberg într-un reportaj publicat în Wired

Se întâmpla în iulie 2015, când jurnalistul Andy Greenberg a participat ca voluntar din postura de șofer la o demonstrație în care Charlie Miller și Chris Valasek, doi cercetători din domeniul securității informatice, au preluat de la distanță controlul unui Jeep Cherokee în timp ce mașina rula pe o autostradă.

Performanța a fost posibilă după ce experții în securitate au lucrat un an de zile la un cod software prin care au putut trimite comenzi către sistemul de infotainment disponibil pe Jeep Cherokee pentru a controla funcții de bază, inclusiv direcția, frânele și transmisia. Iar totul se întâmpla de pe un laptop conectat la internet care putea fi oriunde, inclusiv la sute de kilometri distanță. 

Incidentul de securitate a forțat Fiat Chrysler Automobiles (FCA) , constructor italo-american integrat între timp în Grupul Stellantis, să anunțe un recall pentru 1,4 milioane de mașini din Statele Unite echipate cu sistemul de infotainment Uconnect, printre care Jeep Cherokee, Jeep Grand Cherokee, trei modele Dodge, două modele Chrysler și numeroase pick-up-uri Ram. 

A fost primul recall din istoria industriei auto în care un constructor a rechemat mașini în service pentru a preveni situația în care atacatorii cibernetici ar putea prelua de la distanță controlul asupra unor elemente cruciale pentru siguranța rutieră precum motorul sau direcția. 

Câtă tehnologie integrează astăzi o mașină?

Pe parcursul timpului, mașinile pe care le conducem în fiecare zi au devenit tot mai avansate din punct de vedere tehnologic. Până nu demult, cel mai bun exemplu în acest sens era reprezentat de mașinile echipate cu software de navigație, întrucât acestea se conectează la sistemele de poziționare globală prin satelit. În special la sistemul american GPS, dar și la Galileo (dezvoltat de Uniunea Europeană), Glonass (Rusia) sau Baidu (China), în funcție de localizarea pe glob. 

De altfel, dacă îți întrebi prietenii ce înseamnă software pe o mașină modernă, probabil că cei mai mulți dintre ei vor răspunde că software înseamnă sistemul de infotainment integrat în ecranul de pe planșa de bord. Iar răspunsul este corect, dar nici pe departe complet. 

Mașinile moderne se conectează cu ușurință la aplicațiile pe care le ai instalate pe telefon. Foto: Google

În zilele noastre, o mașină obișnuită integrează câteva sute de unități electronice de control (Electronic Control Unit, pe scurt ECU), iar aproape fiecare funcție este controlată sau cel puțin monitorizată software. Gândește-te doar la numeroasele sisteme de asistență (Advanced Driver-Assistance Systems, pe scurt ADAS) care funcționează pe baza unor algoritmi software complecși. 

Sau gândește-te la faptul că orice mașină electrică sau plug-in hybrid integrează un software de comunicare cu stațiile de încărcare cu energie electrică. De altfel, un cod scris incorect este, de cele mai multe ori, explicația pentru care uneori “mașina nu se încarcă”. 

Sau, și mai simplu, gândește-te că numeroase modele lansate pe piață beneficiază de conectivitate 4G sau 5G, dar și de posibilitatea de a se conecta la rețele Wi-Fi. 

Cel mai simplu exemplu în acest sens este însă reprezentat de ușurința cu care proprietarii își conectează telefoanele la sistemul de infotainment al mașinii prin aplicații precum Android Auto sau Apple CarPlay. Acest lucru este valabil în prezent pentru aproape toate modelele de pe piață, de la cele produse de Dacia până la modele exclusiviste precum cele produse de Ferrari. 

Android Auto este o interfață care transpune pe ecranul sistemului de infotainment o serie de aplicații esențiale de pe telefoanele cu sistemul de operare Android. Sistemul de operare Android are la bază o versiune de Linux, însă aplicațiile sale sunt dezvoltate într-o largă varietate de limbaje de programare, cele mai populare fiind Java și Kotlin. Același lucru este valabil și pentru sistemul de operare Android Automotive, care devine disponibil într-o gamă tot mai variată de modele de pe piață și elimină practic necesitatea unui pairing cu telefonul. 

Între timp, Apple CarPlay transpune aplicațiile de pe iPhone, care folosește un sistem de operare iOS. Aplicațiile pentru iOS sunt scrise preponderent în limbajele de programare Swift (dezvoltat chiar de Apple) și Objective-C.

Indiferent ce metodă folosești pentru conectarea datelor personale la mașină, este important să reții că practic toate sistemele de operare au diverse buguri de securitate care pot fi exploatate, la fel ca Windows și MacOS, folosite pentru calculatoarele uzuale. 

Despre modul în care tehnologia schimbă modul în care interacționăm cu mașinile din punct de vedere al securității am vorbit pe larg cu Silviu Stahie, Security Analyst la Bitdefender. Bitdefender este una dintre cele mai importante companii de securitate informatică. În prezent, dezvoltă soluții complete de securitate pentru o gamă variată de dispozitive electronice și este furnizorul oficial de soluții de securitate pentru Ferrari, cea mai populară echipă din Formula 1.

Orice sistem de operare are vulnerabilități sau problemele de securitate. Nu există sisteme de operare impenetrabile. În principiu, Android ocupă doar o mică parte din piața automobilelor. Există și sisteme proprietare sau bazate pe Linux, de exemplu, care vin cu propriile probleme de securitate.

Silviu Stahie, Security Analyst la Bitdefender 

De asemenea, alături de companii de tehnologie precum Google și Apple, aproape toți constructorii au dezvoltat aplicații software pentru ca datele despre mașina, dar și date care aparțin proprietarului mașinii să ajungă în cloud, pe diverse servere unde sunt stocate cantități impresionante de date. Nu în ultimul rând, constructorii lucrează în ultimii ani și la dezvoltarea unor aplicații prin care mașinile să comunice între ele (V2V – Vehicle to Vehicle) și cu infrastructura rutieră (V2I – Vehicle to Infrastructure) pentru ca tu să primești notificări în timp real despre producerea unor evenimente importante, precum apariția poleiului pe carosabil sau un accident rutier în urma căruia ești îndrumat spre o rută alternativa.

În viitor, mașinile vor comunica cu ușurință între ele, dar și cu infrastructura. Foto: Continental.

În plus, în ultimii ani, constructorii auto lansează tot mai multe opțiuni de actualizări software over-the-air, printr-o simplă conexiune la internet. Lansate inițial de Tesla pentru ca proprietarii să primească cele mai noi actualizări software fără să mai meargă în service, update-urile prin internet au devenit acum o banalitate. Din punct de vedere al funcționalității, se aseamănă foarte mult cu update-urile pe care le primești lunar pe smartphone. Iar acestea acoperă o gamă atât de variată de funcții, încât pot oricând să genereze probleme de securitate. 

Îți dau un singur exemplu: Mercedes-Benz a lansat recent un abonament anual prin care poți crește cu până la 24% puterea totală a motoarelor de pe modelele EQE, EQE SUV, EQS și EQS SUV. Iar întregul proces are loc, desigur, prin software.

Întrucât au la bază algoritmi software scriși de programatori cu sintaxe uzuale, pe care dezvoltatorii le folosesc uzual și pentru aplicațiile de laptop sau pentru telefoane, toate aceste tehnologii moderne pot fi exploatate de alți programatori. Să le spunem simplu atacatori cibernetici. Sau hackeri, cum sunt ei cunoscuți colocvial.

Multe dintre aceste tehnologii sunt dezvoltate chiar de companii tech precum Google sau Apple, care în perioada următoare vor schimba semnificativ modul în care percepem mașinile personale.

Riscurile de securitate, ignorate de șoferi

Așa cum se întâmplă în cazul aplicațiilor software pe care le folosești uzual pe laptop sau telefon, și aplicațiile software integrate în mașini prezintă numeroase riscuri de securitate care pot fi exploatate de infractori cibernetici.

Cu toate acestea, proprietarii de mașini nu conștientizează încă pe deplin implicațiile din punct de vedere al securității. 

Una din principalele probleme este lipsa de conștientizare a consumatorilor cu privire la conectivitatea de care dispun mașinile din ziua de astăzi. Trebuie să începem să tratăm aceste mașini ca orice alt dispozitiv electronic pe care îl deținem și să ne întrebăm în ce fel este vulnerabil. Multe automobile vin cu tehnologii 4G, 5G și Wi-Fi integrate, ceea ce permite constructorului să colecteze date telemetrice, să avertizeze proprietarul când trebuie să meargă în service sau să îmbunătățească experiența de utilizare. Atacatorii încep să își îndrepte atenția către mașinile moderne, la fel ca și cercetătorii care încearcă să găsească eventuale vulnerabilități din timp.

Silviu Stahie, Security Analyst la Bitdefender 
Mașinile se conectează ușor la alte dispozitive, dar riscurile de securitate sunt frecvent ignorate. Foto: Continental

Riscurile de securitate, ignorate și de constructori

Pe de altă parte, incidentele din ultimii ani demonstrează că riscurile de securitate la adresa mașinilor sunt ignorate în mare parte inclusiv de constructori.

De exemplu, Silviu Stahie îmi povestește despre o vulnerabilitate descoperită la sfârșitul anului 2022 de expertul în securitate Sam Curry în aplicația mobilă folosită de proprietarii modelelor Hyundai, Genesis, Nissan, Infiniti, Honda și Acura comercializate în Statele Unite. 

Recent, un cercetător a descoperit o problemă cu Sirius XM Connected Vehicle Services, o componentă care se ocupă printre altele și cu colectarea de date de telemetrie din mașini și de controlul la distanță. Acesta a demonstrat că este posibil să deschidă ușile și să pornească motorul folosindu-se doar de seria de șasiu a mașinii.

Silviu Stahie, Security Analyst la Bitdefender

Breșa de securitate este simplă, cu un potențial impact major asupra securității: prin simplă cunoaștere a adresei de email folosită de proprietar pentru logarea în aplicație sau prin cunoașterea seriei de șasiu a mașinii, cercetătorul a obținut acces la aplicație mobila folosită de modelele respective și a putut controla funcții esențiale precum pornirea și oprirea mașinii. 

La vremea respectivă, reprezentanții Hyundai din Statele Unite s-au mulțumit să afirme că niciun proprietar Hyundai sau Genesis nu a fost afectat de această problemă de securitate.

Investigația noastră a indicat faptul că nicio mașină a clienților și niciun cont personal al clienților nu au fost accesate de alte persoane ca urmare a problemelor semnalate de cercetători. 

Comunicat de presă Hyundai

Cu alte cuvinte, este adevărat că există o vulnerabilitate de securitate în software-ul nostru, dar stai liniștit, totul este în regulă pentru că nu a fost exploatată de nimeni. Încă

Atitudinea pasivă a constructorilor reprezintă un semnal de alarmă și pentru Silviu Stahie, care consideră că producătorii ar trebui să fie proactivi și să elimine pe cât posibil bugurile înainte ca acestea să fie exploatate. 

Este important ca aceste vulnerabilități să fie rezolvate înainte de a fi descoperite de răufăcători. Fie că este vorba de un atac DDoS (n.r – un atac cibernetic prin care atacatorul intenționează să întrerupă funcționarea serviciilor unui operator), man-in-the-middle (n.r – un atac în care conexiunea dintre dispozitiv și server este interceptată de atacatori informatici) sau de alt tip, în momentul în care mașinile au fost conectate la internet, au devenit o țintă.

Silviu Stahie, Security Analyst la Bitdefender 
Tot mai multe date sunt transferate în cloud, ceea ce poate genera vulnerabilități. Foto: Volkswagen

Sfaturi simple pentru protecție preventivă 

În acest context, este esențial ca tu, ca utilizator al mașinii, să fii cât mai precaut, în același mod în care ești precaut când accesezi site-uri sau aplicații pe laptop și telefon. În plus, Silviu Stahie are o regulă de bază pentru tine:

Indiferent de tipul de dispozitiv despre care vorbim, fie că este un telefon sau o mașină, este foarte important să evităm conectarea la rețele Wi-Fi necunoscute. O problemă serioasă care ar putea afecta genul acesta de comunicare se referă la atacurile de timp man-in-the-middle.

Silviu Stahie, Security Analyst la Bitdefender 

În plus, specialiștii Bitdefender recomandă, pe lângă utilizarea exclusivă a rețelelor Wi-Fi cunoscute, și achiziționarea unui router cât mai performant care să integreze și o soluție de securitate. În acest fel, mașina ta va fi protejată în fața atacurilor cibernetice, la fel ca și celelalte dispozitive care se conectează la router. 

Pe lângă aceste măsuri de precauție din partea fiecăruia dintre noi, nu ar fi mai ușor dacă ar exista o soluție de securitate pentru mașini, așa cum se întâmplă deja în cazul soluțiilor de securitate pentru laptopuri sau telefoane? Un Bitdefender pentru mașini, de exemplu. 

Dacă sistemul de infotainment al mașinii permite acest lucru, consumatorii pot descărca soluțiile de securitate din magazinul de aplicații preferat. Bitdefender este deja prezent în multe routere inteligente și ajută la protejarea tuturor dispozitivelor. De exemplu, atunci când conectăm mașina la rețeaua Wi-Fi de acasă, atunci și mașina va fi protejată suplimentar, dacă avem un router cu tehnologie Bitdefender integrată.

Silviu Stahie, Security Analyst la Bitdefender  
Măsurile preventive sunt esențiale pentru a limita pericolul unui atac cibernetic. Foto: Volkswagen

Numărul de atacuri cibernetice asupra mașinilor este scăzut. Încă

Așa cum observi, pentru moment, constructorii auto au mai degrabă o atitudine pasivă în privința dezvoltării de soluții de securitate pentru mașini. Parțial, această atitudine este justificată de faptul că numărul de atacuri cibernetice la adresa mașinilor este încă infim comparativ cu numeroasele tipuri de atacuri informatice cu care te confrunți zilnic pe laptop sau telefon. 

De exemplu, în cadrul studiului Global Automotive Cybersecurity Report, compania de securitate Upstream a menționat existența a 244 de incidente cibernetice care au afectat industria auto în cursul anului 2021. La prima vedere, numărul de atacuri asupra mașinilor este infim comparativ cu cele aproape 46 de milioane de atacuri informatice asupra smartphone-urilor realizate pe parcursul anului 2021, potrivit datelor centralizate de Statista. Chiar și așa, numărul de incidente de securitate care afectează mașinile este cu 225% mai mare comparativ cu anul 2018. 

În acest context, specialiștii din domeniu afirmă că în 2021 piața de soluții de securitate cibernetică pentru mașini a avut o valoare comercială de 2 miliarde de dolari, care va ajunge însă la peste 5 miliarde de dolari în 2026, corespunzător unei creșteri medii anuale de 21%. 

În acest moment, mașinile sunt într-o etapă în care sunt doar ținta unor investigații preliminare ale atacatorilor informatici care explorează domeniul și încearcă să descopere probleme de securitate. Va mai dura până când vom vedea atacuri mai serioase, dar este o chestiune de timp până când acestea vor deveni mai frecvente. 

Silviu Stahie, Security Analyst la Bitdefender 

Cel mai probabil, amploarea acestor atacuri cibernetice va crește inclusiv pe măsură ce sistemele autonome ale mașinilor devin tot mai sofisticate. 

În timp, numărul de atacuri cibernetice la adresa mașinilor va crește. Foto: Continental

În luna septembrie 2022, Bitdefender a efectuat un experiment pentru a înțelege mai bine care sunt vulnerabilitățile pe care încearcă atacatorii informați să le exploateze. Astfel, 86% dintre incidentele de securitate analizate de specialiștii Bitdefender au avut legătură cu scanarea porturilor deschise în interiorul unei rețele Wi-Fi, în timp ce atacturile de tip DDoS au ocupat locul 2 la mare distanță, cu 7%. 

În plus, analiștii au observat inclusiv nereguli elementare: în unele cazuri, comunicarea între utilizator și mașină are loc prin protocolul nesecurizat HTTP, în locul protocolului securizat HTTPS.

Prin urmare, este mai degrabă o chestiune de timp până când amploarea atacurilor cibernetice asupra mașinilor va deveni la fel de frecventă precum atacurile mai mult sau mai puțin sofisticate cu care suntem “bombardați” frecvent pe laptopuri și telefoane. Și, în loc să aștepți soluții de securitate din partea constructorului, cel mai important este să rămâi vigilent și precaut în utilizarea opțiunilor software, o strategie pe care de altfel ar trebui să o adopți și în privința celorlalte dispozitive electronice pe care le folosești în mod curent.