W styczniu 2023 roku opublikowali wstępne wyniki swojej pracy, m.in ogromny zbiór luk w zabezpieczeniach sieciowych wpływające na Kia, Hondę, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls Royce i Ferrari – wszystkie te zdarzenia zostały zgłoszone producentom samochodów. Jak napisali, w przypadku co najmniej sześciu z tych firm znalezione przez grupę błędy internetowe zapewniały przynajmniej pewien poziom kontroli nad funkcjami sieciowymi samochodów, podobnie jak w ich najnowszym hacku dotyczącym Kia. Inne – twierdzą – umożliwiły nieautoryzowany dostęp do danych lub wewnętrznych aplikacji firm. Jeszcze inni, ich zdaniem, obrali za cel oprogramowanie do zarządzania flotą pojazdów uprzywilejowanych i mogli nawet uniemożliwić uruchomienie tych pojazdów, chociaż nie mieli środków, aby bezpiecznie przetestować tę potencjalnie niebezpieczną sztuczkę.
Curry twierdzi, że w czerwcu tego roku odkrył, że Toyota nadal ma podobną wadę w swoim portalu internetowym, która w połączeniu z danymi uwierzytelniającymi dealera, które wyciekły w Internecie, umożliwiłaby zdalne sterowanie funkcjami pojazdów Toyoty i Lexusa, takimi jak śledzenie, odblokowywanie, trąbienie i zapłon. Zgłosił tę lukę Toyocie i pokazał WIRED wiadomość e-mail z potwierdzeniem, która najwyraźniej wskazywała, że był w stanie ponownie przypisać sobie kontrolę nad docelowymi funkcjami Toyoty za pośrednictwem Internetu. Curry nie nakręcił jednak filmu przedstawiającego technikę hakowania Toyoty przed zgłoszeniem jej Toyocie, a firma szybko załatała ujawniony przez niego błąd, nawet tymczasowo wyłączając portal internetowy, aby zapobiec jego wykorzystaniu.
„W wyniku tego dochodzenia Toyota natychmiast wyłączyła zhakowane dane uwierzytelniające i przyspiesza wprowadzanie ulepszeń zabezpieczeń portalu, a także tymczasowo wyłącza portal do czasu zakończenia wprowadzania ulepszeń” – napisał w czerwcu rzecznik Toyoty do WIRED.
Więcej inteligentnych funkcji, więcej głupich błędów
Niezwykła liczba luk w zabezpieczeniach witryn internetowych producentów samochodów, które umożliwiają zdalne sterowanie pojazdami, jest bezpośrednim skutkiem wysiłków firm mających na celu przyciągnięcie uwagi konsumentów – szczególnie młodych – funkcjami obsługującymi smartfony, mówi Stefan Savage, profesor informatyki na Uniwersytecie Kalifornijskim w San Diego, którego zespół badawczy jako pierwszy to zrobił włamać się do układu kierowniczego i hamulców samochodu przez Internet w 2010 roku. „Kiedy już połączysz te funkcje użytkownika z telefonem i połączysz się z chmurą, stworzysz całą powierzchnię ataku, o którą nie musiałeś się wcześniej martwić” – mówi Savage.
Mimo to, jak twierdzi, nawet on jest zaskoczony brakiem bezpieczeństwa całego kodu internetowego zarządzającego tymi funkcjami. „To trochę rozczarowujące, że tak łatwo jest go wykorzystać” – mówi.
Rivera twierdzi, że podczas swojej pracy w dziale cyberbezpieczeństwa w branży motoryzacyjnej zaobserwował na własne oczy, że firmy samochodowe często kładą większy nacisk na urządzenia „wbudowane” – komponenty cyfrowe w nietradycyjnych środowiskach komputerowych, takich jak samochody – niż na bezpieczeństwo w Internecie, po części dlatego, że aktualizacja tych urządzeń wbudowanych może być znacznie trudniejsze i prowadzą do wycofań. „Od początku było dla mnie jasne, że w branży motoryzacyjnej istnieje wyraźna przepaść pomiędzy bezpieczeństwem wbudowanym a bezpieczeństwem sieciowym” – mówi Rivera. „Te dwie rzeczy bardzo często się ze sobą łączą, ale ludzie mają doświadczenie tylko w jednej lub drugiej”.
Savage z UCSD ma nadzieję, że prace badaczy zajmujących się hakowaniem Kia mogą pomóc w zmianie tego punktu widzenia. Wiele wczesnych, głośnych eksperymentów hakerskich, które miały wpływ na systemy wbudowane w samochodach, takich jak przejęcie Jeepa w 2015 r. i włamanie do Impala w 2010 r. przeprowadzone przez zespół Savage’a z UCSD, przekonało producentów samochodów, że muszą lepiej nadać priorytet wbudowanemu cyberbezpieczeństwu, mówi. Teraz firmy samochodowe również muszą skoncentrować się na bezpieczeństwie sieci – nawet jeśli, jego zdaniem, oznacza to poświęcenia lub zmiany w swoich procesach.
„Jak podjąć decyzję: «Nie wysyłamy samochodu przez sześć miesięcy, ponieważ nie sprawdziliśmy kodu internetowego?» Trudno to sprzedać” – mówi. „Chciałbym myśleć, że tego rodzaju wydarzenie powoduje, że ludzie patrzą na tę decyzję pełniej”.