Группа исследователей из США провела первый комплексный анализ безопасности стандарта MirrorLink – системы, позволяющей транспортным средствам "общаться" со смартфонами. Учёные из Инженерной школы Тэндона при Нью-Йоркском университете и Университета Джорджа Мейсона обнаружили, что это уязвимое место большинства современных автомобилей.
Многие автовладельцы и не подозревают, что их машины сходят с конвейера со скрытыми "пассажирами" — прототипом программного обеспечения. Оно чаще всего отключено, но может быть разблокировано сообразительными водителями или злоумышленниками.
Система MirrorLink, созданная организацией Connected Car Consortium, является первым и ведущим промышленным стандартом для соединения смартфонов с автомобильной информационно-развлекательной системой (IVI).
MirrorLink представлена в 80 процентах машин всех мировых автопроизводителей. Тем не менее некоторые из них отключают этот стандарт, поскольку выбирают другие для соединения смартфонов с IVI. Другая причина – версия MirrorLink в их автомобилях является прототипом и может быть активирована позднее.
Деймон Маккой (Damon McCoy) из Инженерной школы Тэндона при Нью-Йоркском университете и его коллеги обнаружили, что стандарт MirrorLink относительно легко включить. Но это полбеды. Когда система разблокирована, она позволяет хакерам использовать присоединённый смартфон для управления важными компонентами автомобиля. Например, антиблокировочной системой тормозов.
Маккой объясняет, что тюнеры (от английского слова tuner, настройщик) – люди или компании, которые настраивают автомобили – могут случайно открыть доступ хакерам, разблокировав небезопасные параметры.
"Сейчас даже есть общедоступные инструкции для разблокировки стандарта MirrorLink. Одно из видео, которое содержит подобную инструкцию, набрало на YouTube более 60 тысяч просмотров", — говорит Маккой. Исследователи как раз использовали одну из таких инструкций для разблокировки MirrorLink.
Учёные надеются своей работой обратить внимание инженеров на небезопасность стандарта. Исследование было представлено на семинаре USENIX Workshop on Offensive Technologies (WOOT '16) в Остине, США.
