Egyre több autógyártó él a lehetőséggel és ad ki olyan mobilalkalmazásokat, amelyekkel távolról is elérhetjük gépjárműveinket. Ezzel távolról kinyithatóvá, lezárhatóvá válnak közlekedési eszközeink, sőt akár a motor beindítására is lehetőség van az appok segítségével. Mindez persze elég nagy biztonsági kockázatokat is rejthet magában – amint azt a Hyundai kénytelen volt saját bőrén megtapasztalni.

Android Auto a Hyundaiokon
A Google két éve jelentette be, hogy a gépjárművek műszerfalára is igényt tart az Android Auto képében. Tavaly ilyenkor pedig egy kereskedelmi forgalomban is kapható autó addigi kommunikációs és szórakoztató rendszerét frissíthetővé tették a Google megoldásával.

Az első szerencsés a Hyundai Sonata 2015-ös modellje, annak is az a kiadása, amelyik a 8 colos érintőkijelzőt is magában foglaló, úgynevezett „Tech Package” csomaggal rendelkezik.

Bajok a kommunikációban

A távol-keleti gyártó már nem először nyúlt hozzá Blue Link szoftveréhez; ezúttal a 3.9.6-os változatot adta ki a connected-car koncepciót megvalósító alkalmazáshoz. Az app nem funkcióbővítéssel gyarapodott, hanem a távoli hozzáférés biztonságosságát hivatott növelni a frissítés.

A korábbi változatokban ugyanis létezik két olyan sebezhetőség, amelynek felfedezéséhez a Hyundai és a Rapid7 IT-biztonsági vállalat együttműködése vezetett el. Az első, úgynevezett közbeékelődéses (man-in-the-middle) sérülékenység azért okoz gondot, mert az alkalmazás nem ellenőrzi a kommunikációs csatornák végpontjait. Ennek kihasználásával harmadik, jogosulatlan fél férhet hozzá az okostelefon és az autó közötti zajló adattovábbításhoz, anélkül, hogy erről a tulajdonos tudomást szerezhetne.

A másik biztonsági rés oka egy előre rögzített, titkosítás visszafejtésére használható kulcsban keresendő. Az alkalmazás ugyan – helyesen – titkosított jelszavakon keresztül végzi a felhasználóazonosítást; azonban amikor ezeket a jelszavakat elküldi a Hyundai felhőszolgáltatásába, a jelszavak dekódolásához szükséges kulcs közvetlenül kerül bele az adatfolyamba. Bárki, aki képes elcsípni ezt a kommunikációt, megszerezheti a visszafejtő kulcsot, így pedig hozzáférést kaphat a felhasználó accountjához.

Szerencsére nincs igazán nagy veszély

Két tényező is csökkenti a most nyilvánossá vált sebezhetőségek jelentette fenyegetést. Az egyik, hogy a támadónak rá kell vennie a célpont felhasználót egy ártó szándékkal megalkotott Wi-Fi hotspot használatára. Ez önmagában sem egyszerű feladat, ráadásul az app frissítését követően értelmetlenné is válik az erőfeszítés.

Másrészt pedig a feltört mobilalkalmazással elérhető tevékenységek köre is erősen limitált. Még ha sikerül is megszerezni a megtámadott autó feletti ellenőrzést a Blue Linken keresztül, a hacker lehetőségei meglehetősen korlátozottak. Kinyithatja és bezárhatja, ami ugyan elősegítheti a jármű eltulajdonítását, de ha valamilyen lopásgátlóval is el van látva, akkor sokra nem megy vele. Emellett beindíthatja a motort, amivel szépen lassan lemerítheti az üzemanyagtartályt és szénmonoxiddal telítheti a garázst (ami azért bizonyos esetekben akár komoly problémát is jelenthet), de ezzel ebben az esetben nagyjából vége is a lehetőségeknek.

Igazán komoly veszély tehát nem fenyegeti a Hyundai tulajdonosokat. A Blue Line ugyanis nem kínál hozzáférést a fékhez, gázhoz, kormányhoz. Ez halálos fenyegetést jelentene; menet közben egy nem várt, távolról kezdeményezett manőver könnyen közúti balesethez és súlyos sérülésekhez vezethetne.