Kyberškandál zasiahol veľké automobilky
Zatiaľ čo mnohí motoristi o ničom netušia, štyri bezpečnostné chyby s označením PerfektBlue predstavujú vážne riziko pre viaceré automobilky a ich modely vrátane Volkswagenu, Škody a Mercedes-Benz. Kyberškandál sa nedarí dlhé mesiace vyriešiť, píše portál cyberweek.com.
Tieto zraniteľnosti umožňujú vzdialené spustenie kódu a potenciálny prístup k citlivým komponentom vozidla prostredníctvom infotainment systému. Objavil ich IT tím spoločnosti PCA Cyber Security, ktorý sa špecializuje na kybernetickú bezpečnosť automobilov. Firma už takto publikovala viac ako 50 zraniteľností v automobilových systémoch.
V tomto prípade analyzovali balík softvéru BlueSDK, ktorý sa stará o Bluetooth komunikáciu v aute. Spoločnosť OpenSynergy, ktorá stojí za vývojom BlueSDK, potvrdila existenciu chýb ešte v júni 2024. V septembri poskytla svojim zákazníkom opravený softvér. Viaceré automobilky však opravu dodnes nezaviedli.
Odhalené zraniteľnosti môžu útočníci v kombinovanej forme zneužiť a vykonať jeden útok, ktorý v najhoršom prípade spôsobí získanie prístupu k systémom vozidla.
Kyberútok na autá v praxi
Bezpečnostní odborníci demonštrovali kyberútoky v prípade modelov áut ako napríklad Volkswagen ID.4 či Škoda Superb. V týchto prípadoch sa im podarilo získať vzdialený prístup ku systému vozidla cez sieť.
To umožňuje útočníkom získať citlivé údaje ako napríklad GPS polohu či zoznam kontaktov. Hrozí takisto odpočúvanie konverzácií či potenciálny prienik do ďalších častí systému vozidla.
Firma OpenSynergy uviedla, že z dôvodu podpísaných zmlúv o mlčanlivosti nemôže zverejniť, ktorých automobiliek sa problém týka. Potvrdila však, že s nimi aktívne spolupracuje na riešení problému.
Kyberproblémy hrozia za istých podmienok
Spoločnosť Volkswagen potvrdila, že zraniteľnosť síce existuje, no musia byť vraj splnené viaceré podmienky, aby útočník dokázal napáchať škody.
V prvom rade sa musí nachádzať vo vzdialenosti maximálne 5 až 7 metrov od vozidla a auto musí byť naštartované. Zároveň platí, že infotainment systém musí byť v režime párovania a používateľ musí manuálne potvrdiť pripojenie.
Automobilka Mercedes-Benz potvrdila, že motoristom medzičasom poskytla softvérovú aktualizáciu. PCA Cyber Security prezradila, že zraniteľnosti sa týkajú aj štvrtého veľkého výrobcu áut, ktorý vraj o chybách pôvodne nebol informovaný. Z tohto dôvodu experti zatiaľ nezverejnili jeho meno, no plánujú tak urobiť na konferencii v novembri 2025.
