В популярных приложениях для дистанционного открытия замков и запуска двигателя автомобилей обнаружены уязвимости, которые позволяют злоумышленнику отправлять собственные команды. Баги подтверждены в приложениях Genesis и Hyundai, а также популярной платформе SiriusXM, которую используют многие автопроизводители.

В частности, приложение от Hyundai позволяет перехватывать данные между утилитой и автомобилями, которые выпущены позднее 2012 года. Анализ работы приложений MyGenesis и MyHyundai показал, что для идентификации пользователей используется сравнение электронной почты с другими параметрами. Добавление определенных управляющих символов к почте владельца автомобиля позволило специалистам обойти систему безопасности и выполнить определенные действия с чужой машиной. В частности, удалось запустить двигатель, открыть багажник, управлять системой кондиционирования и даже отключать звуковой сигнал. Эксперты отметили, что проблема, скорее всего, не в архитектуре самого приложения, а в используемом API. При этом отмечается, что атаки такого типа сложно реализовать массово, но они все равно представляют опасность для обладателей авто.

Также эксперты проанализировали уровень защищенности приложения Nissan Connect, которое основано на популярной платформе SiriusXM. Были обнаружены серьезные проблемы в безопасности. В частности, оказалось, что VIN-номер автомобиля позволяет постороннему лицу узнать информацию об автомобиле, включая имя владельца, адрес и телефон.

Представители SiriusXM и Hyundai оповещены о проблеме, подтвердили ее наличие и уже выпустили обновленную прошивку. Реальных инцидентов с эксплуатацией уязвимости пока не зафиксировано. Однако эксперты уверены, что проблемы в данном направлении будут только нарастать, поскольку сложность бортовых систем растет и увеличивается их интеграция во внешние информационные системы.