В пятницу эксперты в области кибербезопасности озвучили недостатки программного обеспечения Tesla. Хакеры смогли заглушить двигатель двигающегося автомобиля. Но владельцы высокотехнологичного седана не должны беспокоиться. Tesla вскоре проведёт самостоятельное обновление через интернет.
Поскольку автомобили управляются через бортовые компьютеры, пользующиеся интернет-соединением, они подвержены риску со стороны хакеров. Недавний пример взлома Jeep Cherokee является важным аргументов в вопросе низкой защищённости современных автомобилей от интернет-атак. Tesla решила принять меры по устранению возможных атак очень быстро и владельцы автомобилей скоро смогут увидеть запрос на обновление программного обеспечения на дисплеях автомобиля.
Консультанты, которые нашли уязвимость в Model S — Кевин Махаффи, соучредитель и главный технолог компании Lookout Inc., и Марк Роджерс, главный исследователь безопасности для CloudFlare Inc., продемонстрировали недостатки системы безопасности автомобиля во время хакерской конференции DefCon в Лас-Вегасе. Они обнаружили шесть ключевых недостатков в транспортном средстве, о чём компанию Tesla сразу предупредили, для избежания возможных неприятностей и рисков владельцев автомобилей, стоимостью свыше 70 тысяч долларов.
«Палка о двух концах»
Тесла является необычным производителем автомобилей, позволяющим быстрое обновление ПО через интернет, так что владельцы авто не вынуждены ехать в сервисный центр для обновления или вручную скачивать и устанавливать обновление посредством карт памяти. Это является положительной стороной компании. Но из-за доступа в интернет появляется реальная угроза взлома автомобиля. Самым слабым является беспроводное соединение, которое можно перехватить посредством сканирования сотовой связи. Это является сильной угрозой для всех автомобилей с выходом в интернет, даже при непосредственном подключении ноутбука к компьютеру автомобиля угроза меньше, ведь злоумышленнику необходим физический контакт с авто.
Уязвимость программного обеспечения
«Возможность Теслы обновлять ПО через интернет в кратчайшие сроки должно послужить примером для всех других автопроизводителей», — написал Махаффи в своём блоге. — «Для того чтобы реально залатать уязвимость в каждом автомобиле, компания должна принимать быстрые меры. Когда производитель понимает, что уязвимость программного обеспечения влияет на их транспортные средства, то он должен начать обновление сразу без необходимости владельца самому обновлять ПО».
Тесла тесно сотрудничает с исследователями в области безопасности и подчёркивает, что пока для взлома необходим физический контакт с Model S, труднее будет взломать через интернет, как случилось с Jeep Cherokee. Крис Эванс, глава службы безопасности для Chrome браузера от Google Inc., недавно заявил, что он присоединяется к Тесле, чтобы возглавить службу безопасности. В то время как быстрое реагирование Теслы успокаивает своих клиентов, специалисты по кибербезопасности сказали, что промышленности предстоит долгий путь для предотвращения хакерских атак на автомобили.
«Автопроизводители должны начать думать о том, как устроена автомобильная электроника, так что если хакеры проникают в информационно-развлекательную систему, то они не могут также получить доступ к двигателю или системе рулевого управления», — сказал Ульф Линдквист, директор программы с SRI International.
«Мы изучали методы проникновения и установки опасных патчей в течение нескольких лет и после того, как они попадают куда-либо, вы обречены. Мы должны строить новые системы, которые будут устойчивы к взломам. Если у вас есть система, от которой зависит человеческая жизнь, то она должна быть защищена от проникновения и патча», — сказал Линдквист, работающий с Департаментом Национальной Безопасности США по изучению новых технологий для автомобильной безопасности.