Эксперты «Лаборатории Касперского» проанализировали мобильные приложения под Android, предназначенные для удаленного управления отдельными системами «умных» автомобилей. Эти приложения разработаны внутри компаний-автопроизводителей и являются совершенно официальными. Однако в них нашлось огромное количество нарушений базовых правил кибербезопасности.

Например, в них отсутствует защита от реверс-инжиниринга. Приложив не очень большие усилия, злоумышленники смогут выяснить все слабые места приложения и даже получить доступ к серверной инфраструктуре или всей мультимедийной «начинке» автомобиля. Учитывая, что, как минимум, у некоторых «умных» машин мультимедийно-развлекательные системы не изолированы от функций приборной панели, это означает возможность брать под контроль любые бортовые системы, пусть даже и теоретическую.

В официальных приложениях отсутствует проверка цельности кода. Это значит, что злоумышленники могут внедрять в код легитимных приложений вредоносные компоненты без особых проблем и заметных на первый взгляд последствий.

В приложениях нет методов обнаружения «рутинга» - неофициального получения владельцем прав системного администратора. Если смартфон с «автомобильным» приложением оказывается «рутован» вредоносной программой, то приложение окажется беззащитным. В них нет защиты от оверлейинга. Это значит, что вредоносное ПО может выводить фишинговые окна поверх автомобильных приложений, воруя таким образом логины и пароли.

Подробнее: http://safe.cnews.ru/news/top/2017-02-20_milliony_avtomobilej_mozhno_ugnat_cherez_mobilnik