Guruló okostelefonok: feltörhetőek az elektromos autók?

Az elektromos járművek terjedésével párhuzamosan egyre több szakértő vizsgálja, milyen kockázatokkal jár, hogy ezek az autók gyakorlatilag guruló számítógépek. A gyártók és a biztonsági kutatók is egyetértenek abban, hogy sérülékenységek léteznek, ugyanakkor a legtöbb ismert hibát gyorsan javítják.

A modern elektromos autók számos vezeték nélküli kapcsolaton keresztül kommunikálnak: mobilhálózat, Bluetooth, wifi és a hozzájuk tartozó mobilalkalmazások biztosítják a távoli vezérlés és a szoftverfrissítések lehetőségét. Ez a magas fokú összeköttetés új támadási felületeket nyit a kiberbűnözők előtt.

Az elmúlt években több eset is rávilágított a lehetséges veszélyekre: 2024 januárjában, a tokiói Pwn2Own Automotive hekkerversenyen a francia Synacktiv csapat úgy jutott be a Teslákba, hogy nem is kellett hozzáérnie az autóhoz. Egy hamis mobil tornyot állítottak fel, és a Tesla mobilnetes csipjében lévő két hibát kihasználva átvették az autó nagy középső kijelzőjének teljes irányítását. 

Miután bent voltak, már bármit megtehettek: kinyithatták az ajtókat, bekapcsolhatták a lámpákat, a szélvédőmosót, sőt akár a kormányzást vagy a féket is elérhették, de ezeket csak a zsűrinek mutatták meg, nem csináltak kárt. A hibákat azonnal jelentették a Teslának, a vállalat pár héten belül kiadta a javítást.

Tavaly tavasszal két kutató egy 50-60 ezer forintos Flipper Zero nevű eszközzel és egy pár ezer forintos kiegészítővel kihasználta, hogy a Tesla Bluetooth-kapcsolata nem ellenőrzi elég alaposan, amikor egy régi, egyszer már párosított telefon visszatér a közelbe – így egyszerűen becsempészték a saját telefonjukat az autó kulcsai közé, mintha az mindig is jogos tulajdonos lett volna.

2022-ben a 19 éves David Colombo egy harmadik féltől származó alkalmazás (TeslaMate) hibáját kihasználva 25 Tesla autóhoz fért hozzá tizenhárom országban: távolról nyithatta az ajtókat, indíthatta az autókat, és követhette a tartózkodási helyüket. Az utóbbi hibákat szintén gyorsan orvosolta a cég.

A kockázatok ma még kezelhetők

A szakértők szerint a bemutatott támadások többsége speciális szaktudást, fizikai közelséget vagy jelentős előkészületet igényel, így a hétköznapi felhasználókat közvetlenül ritkán fenyegetik. A gyártók – különösen a Tesla – bug bounty programokkal ösztönzik a felelős hibajelentést, és a felfedezett sérülékenységeket általában napokon vagy heteken belül befoltozzák.

A valós, széles körű, rosszindulatú támadások száma egyelőre alacsony – az Upstream Security jelentése szerint 2023-ban 295 autóipari kibertámadást regisztráltak világszerte, ami növekedést jelez, de még mindig kezelhető szint. A tulajdonosoknak a legalapvetőbb védelmi lépések változatlanok:  

• automatikus szoftverfrissítések engedélyezése,  
• erős, egyedi jelszavak és kétlépcsős hitelesítés használata a gyártói alkalmazásokban,  
• nyilvános wifihálózatok kerülése az autóval való párosításkor.