Díky „vzpomínce“ zhoršuje Fiat Chrysler své auto

Poté, co Wired minulý týden ukázal dvěma hackerům vzdáleně získat přístup a imobilizovat pohybující se Jeep tím, že využil zranitelnosti softwaru, Fiat Chrysler odpověděl opravou zranitelnosti v několika modelech Jeep, Dodge a Chrysler, které byly vybaveny hacknutým softwarem Uconnect. To, jak postupovali při vydávání záplaty, však může zákazníky společnosti ještě více ohrozit.

Fiat Chrysler neposílá majitelům postižených aut raději USB software, než aby považoval softwarový patch za tradiční stažení (tj. Vyžadoval, aby navštívil servisní středisko a nechal odborníka provést opravu). Odtud mohou majitelé automobilů připojit USB disk do USB portu automobilu a opravit tak zranitelnost softwaru. Zdá se, že je to pohodlný způsob, jak si vzpomenout na něco, co si mohou majitelé automobilů sami opravit. 

Jak by však každý, kdo má zkušenosti s kybernetickou bezpečností, dobře věděl, otevírá se tak obrovskému procedurálnímu oknu pro hackery, kteří by mohli mít sklon tuto chybu zneužít k převzetí kontroly nad vozidlem. Carl Leonard, hlavní bezpečnostní analytik Raytheon Websense, říká, že to vytváří snadnou příležitost pro sociální inženýrství a používá notoricky zranitelnou distribuční metodu na USB disku.

„Rozhodnutí společnosti Fiat Chrysler rozesílat USB flash disky přímo zákazníkům, aby opravili nedávnou zranitelnost, je ekvivalentem bezpečnosti, jak mávat červenou ragou na býka,“ říká Leonard. „Hackeři, kteří jsou velmi zběhlí v tom, že využívají taktiku nerozhodnosti a sociálního inženýrství v době krize, by mohli tuto příležitost k opravě USB využít k nebezpečnému zisku.“

Pro ty, kteří vlastní tato auta, by pokus o opravu bezpečnostní chyby mohl skončit zpětným útokem, pokud by na ně byli zaměřeni hackeři.

„[Hackeři] by například mohli parodovat aktualizaci pomocí falešného dopisu a vlastního USB flash disku, což by jim umožnilo spustit řadu scénářů hrozeb skutečného života, včetně havárie nebo krádeže auta,“ dodal Leonard. "To nezohledňuje ani nejistotu, že USB patch byl správně aplikován, aniž by to mělo negativní důsledky pro bezpečný provoz vozidla."

To vše se zdá být obzvláště pošetilé, když uvážíme, že Fiat Chrysler také zpřístupnil aktualizaci ke stažení na svých webových stránkách a nabídl služby v autorizovaných prodejnách. Nabídka pro zaslání předem načteného zařízení USB tedy nebyla vůbec nezbytná.

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.