Android Phone Hacks pourrait déverrouiller des millions de voitures

Share on FacebookTweet about this on TwitterShare on Google+Pin on Pinterest

Dans l’ERA de la voiture connectée, les constructeurs automobiles et les développeurs tiers concourent pour transformer les smartphones en télécommandes pour véhicules, permettant aux conducteurs de localiser, verrouiller et déverrouiller leurs voiture avec un robinet d’écran. Certaines applications invitent même les voitures et les camions à la mode Knight Rider. Mais les téléphones peuvent être piratés. Et quand ils le sont, ces fonctionnalités de voiture-connectés peuvent tomber dans les mains des pirates, aussi.

C’est le résultat troublant d’un test de neuf différentes applications de voitures connectées Android de sept entreprises. Une paire de chercheurs de l’entreprise de sécurité russe « Kaspersky » a constaté que la plupart des applications, dont plusieurs ont été téléchargés des centaines de milliers ou plus d’un million de fois, manquait même des défenses logicielles de base que les conducteurs pourraient s’attendre à protéger une de leurs possessions les plus précieuses. Par l’enracinement du téléphone cible ou de tromper un utilisateur dans l’installation de code malveillant, les chercheurs disent, les pirates pourraient utiliser n’importe laquelle des applications Kaspersky testé pour localiser une voiture, le déverrouiller, et dans certains cas démarrer son allumage.

Ignition Remix

Pour l’instant, les chercheurs ont refusé de nommer l’une des applications spécifiques qu’ils ont testé de peur qu’ils fournissent des conseils aux voleurs de voiture. Mais ils soutiennent que leur travail devrait envoyer un message à l’industrie automobile en général pour prendre la sécurité des voitures connectées plus au sérieux. « Pourquoi les développeurs d’applications de voiture connectés ne se soucient-ils pas autant de la sécurité que les développeurs d’applications bancaires? », Demande le chercheur de Kaspersky Viktor Chebyshev. « Ils contrôlent aussi des choses très précieuses pour l’utilisateur, mais ils ne pensent pas aux mécanismes de sécurité. »

Le pire cas d’attaque des chercheurs trouvés permettrait à un pirate d’accéder à l’intérieur d’une voiture verrouillée; Les voleurs aurait besoin d’autres astuces pour obtenir un résultat plus grave, comme le spoofing d’une clé ou de désactiver l’immobilisateur de la voiture, ce qui empêche les voitures d’être volé. Ils soulignent que les véhicules de Tesla permettent à une voiture d’être conduit avec seulement une application smartphone comme un exemple de la façon dont le compromis d’un téléphone pourrait conduire à des vols plus graves, bien que Tesla ne faisait pas partie de leurs recherches.

L’analyse se tient principalement aux applications elles-mêmes – les chercheurs ont seulement essayé les attaques sur l’un des modèles de voiture affectés. Et ils disent qu’ils n’ont pas découvert des échantillons de logiciels malveillants Android en cours d’utilisation qui tirent les astuces qu’ils décrivent. Mais ils soutiennent néanmoins que regarder le code des apps seul montre comment les voleurs de voiture pourraient exploiter leurs dispositifs, et ils indiquent des preuves limitées des forums de pirate que le marché noir a déjà pris un intérêt. Les captures d’écran affichées dans ces forums (ci-dessous) montrent des offres d’achat et de vente d’identifiants d’application de voiture connectés, y compris les noms d’utilisateur et les mots de passe, ainsi que les numéros PIN et numéros d’identification de véhicule pour différentes marques et modèles de voiture. Le taux actuel est de centaines de dollars par compte. « Les cybercriminels préparent ces attaques maintenant », dit Chebyshev.

Buckle Up

Les chercheurs disent qu’ils ont signalé les problèmes de sécurité qu’ils mettent en évidence à plusieurs des entreprises automobiles touchées, et sont toujours en cours d’informer les autres. Mais ils notent également que les problèmes qu’ils signalent ne sont pas des bogues de sécurité, tant que le manque de garanties. Le cryptage ou le hachage des informations d’identification stockées sur le périphérique, l’ajout d’une authentification à deux facteurs ou l’authentification par empreinte digitale ou la création de contrôles d’intégrité pour vérifier s’ils ont été modifiés pour inclure du code malveillant contribuent grandement à la médiation du problème .

Ce n’est pas la première fois que le manque de garanties dans les applications de voiture connectée est revenu à mordre les constructeurs automobiles – ni le problème est entièrement limité aux téléphones Android. Le chercheur en sécurité Samy Kamkar a montré en 2015 qu’il pouvait utiliser un petit morceau de matériel caché sur une voiture pour intercepter sans fil les informations d’identification d’applications iOS comme Onstar de GM, UConnect de Chrysler, Mercedes-Benz mbrace et BMW Remote. L’attaque de Kamkar lui permettait aussi de localiser à distance ces voitures, de les déverrouiller et, dans certains cas, de démarrer leur allumage. Avec cette méthode, «il n’y aurait pas d’avertissements; Vos informations d’identification seraient volées et réutilisables par l’attaquant sans aucune modification téléphonique », explique Kamkar, en comparant son attaque aux hacks Android suggérés par Kaspersky. « Mais il est tout de même intéressant de voir que lorsqu’un téléphone est compromis maintenant, tant d’autres domaines de votre vie peuvent être prises. »

Comme les voitures connectées gagnent des fonctionnalités, les chercheurs Kaspersky argumentent, que la nécessité de verrouiller les applications qui contrôlent ces fonctionnalités ne fera que croître. « Peut-être aujourd’hui, nous pouvons ouvrir la voiture sans déclencher l’alarme, mais ces fonctionnalités ne sont que le début», dit Kaspersky chercheur Mikhail Kuzin. « Les constructeurs automobiles ajouteront de nouvelles fonctionnalités pour rendre nos vies plus pratiques. Pour éviter d’autres attaques à l’avenir, nous devons réfléchir à cela maintenant.  »

 

Share on FacebookTweet about this on TwitterShare on Google+Pin on Pinterest