LATEST
Κενά ασφαλείας απειλούν την ασφάλεια των οχημάτων
Στο Security Analyst Summit 2025, η Kaspersky παρουσίασε τα αποτελέσματα ενός ελέγχου ασφαλείας, ο οποίος αποκάλυψε ένα σοβαρό κενό που επιτρέπει τη μη εξουσιοδοτημένη πρόσβαση σε όλα τα συνδεδεμένα οχήματα ενός κατασκευαστή αυτοκινήτων. Μία ευπάθεια zero-day σε μια εφαρμογή ανοιχτής πρόσβασης εξωτερικού συνεργάτη καθιστά εφικτή την απόκτηση ελέγχου επί του συστήματος τηλεματικής των οχημάτων, θέτοντας σε κίνδυνο τη σωματική ασφάλεια των οδηγών και των επιβατών. Για παράδειγμα, οι επιτιθέμενοι θα μπορούσαν να αλλάξουν ταχύτητες ή να σβήσουν τη μηχανή ενώ το όχημα βρίσκεται σε κίνηση. Τα ευρήματα αναδεικνύουν πιθανές αδυναμίες κυβερνοασφάλειας στην αυτοκινητοβιομηχανία, εντείνοντας τις εκκλήσεις για ενισχυμένα μέτρα προστασίας.
Ο έλεγχος ασφαλείας πραγματοποιήθηκε εξ αποστάσεως και είχε στο επίκεντρο τις δημόσια προσβάσιμες υπηρεσίες του κατασκευαστή καθώς και την υποδομή του εξωτερικού συνεργάτη. Η Kaspersky εντόπισε αρκετές εκτεθειμένες διαδικτυακές υπηρεσίες. Αρχικά, μέσω μιας ευπάθειας SQL injection τύπου zero-day στην εφαρμογή wiki (μια διαδικτυακή πλατφόρμα που επιτρέπει σε χρήστες να δημιουργούν, να επεξεργάζονται και να διαχειρίζονται περιεχόμενο συνεργατικά), οι ερευνητές κατάφεραν να εξαγάγουν λίστα χρηστών από την πλευρά του εξωτερικού συνεργάτη μαζί με hashes κωδικών πρόσβασης, μερικοί από τους οποίους αποκρυπτογραφήθηκαν λόγω αδύναμης πολιτικής κωδικών. Η παραβίαση αυτή έδωσε πρόσβαση στο σύστημα παρακολούθησης (issue tracking system) του εξωτερικού συνεργάτη (ένα εργαλείο λογισμικού που χρησιμοποιείται για τη διαχείριση και παρακολούθηση εργασιών, σφαλμάτων ή προβλημάτων σε ένα έργο), το οποίο περιείχε ευαίσθητες πληροφορίες διαμόρφωσης σχετικά με την υποδομή τηλεματικής του κατασκευαστή. Ανάμεσά τους υπήρχε και αρχείο με hashed (κατακερματισμένους) κωδικούς χρηστών ενός από τους servers τηλεματικής οχημάτων του κατασκευαστή. Στα σύγχρονα αυτοκίνητα, η τεχνολογία τηλεματικής επιτρέπει τη συλλογή, μετάδοση, ανάλυση και αξιοποίηση διαφόρων δεδομένων από τα συνδεδεμένα οχήματα.
Από την πλευρά των συνδεδεμένων οχημάτων, η Kaspersky εντόπισε λανθασμένη ρύθμιση firewall, η οποία άφηνε εκτεθειμένους εσωτερικούς servers. Χρησιμοποιώντας έναν κωδικό πρόσβασης λογαριασμού που είχαν αποκτήσει νωρίτερα, οι ερευνητές απέκτησαν πρόσβαση στο σύστημα αρχείων του server και αποκάλυψαν στοιχεία άλλου συνεργάτη, τα οποία παρείχαν πλήρη έλεγχο στην υποδομή τηλεματικής. Το πιο ανησυχητικό εύρημα ήταν μία εντολή ενημέρωσης firmware, η οποία επέτρεπε το ανέβασμα τροποποιημένου λογισμικού στη Μονάδα Ελέγχου Τηλεματικής. Μέσω αυτής, οι ερευνητές απέκτησαν πρόσβαση στο δίκτυο CAN (Controller Area Network) – το σύστημα που συνδέει τα διάφορα μέρη του οχήματος, όπως τον κινητήρα, τους αισθητήρες και το σύστημα μετάδοσης. Στη συνέχεια, απέκτησαν πρόσβαση και σε άλλα κρίσιμα συστήματα του οχήματος, όπως ο κινητήρας και το κιβώτιο ταχυτήτων, γεγονός που θα μπορούσε να επιτρέψει την παρέμβαση σε κρίσιμες λειτουργίες του οχήματος και να θέσει σε κίνδυνο την ασφάλεια οδηγού και επιβατών.
Η Kaspersky συνιστά στους συνεργάτες να περιορίσουν την πρόσβαση στο διαδίκτυο για τις διαδικτυακές υπηρεσίες μέσω VPN, να απομονώσουν τις υπηρεσίες από τα εταιρικά δίκτυα, να εφαρμόσουν αυστηρές πολιτικές κωδικών πρόσβασης, να ενεργοποιήσουν την πιστοποίηση δύο παραγόντων (2FA), να κρυπτογραφήσουν τα ευαίσθητα δεδομένα και να ενσωματώσουν σύστημα καταγραφής ενεργειών (logging) με SIEM για παρακολούθηση σε πραγματικό χρόνο.