L'autre jour, une personne d'aspect sommaire s'est approchée de ma voiture pendant que je me garais et m'a demandé s'il pouvait recharger son téléphone portable dans ma voiture et m'a proposé de me payer 5 $. Je ne l'ai pas autorisé à charger son téléphone dans ma voiture bien sûr, mais cela m'a fait me demander s'il aurait pu faire quoi que ce soit (à part charger son téléphone) si j'avais connecté son téléphone au port USB de ma voiture. Quelqu'un sait s'il s'agit d'une arnaque quelconque?
Étant donné que je ne connais pas votre modèle de voiture, mais que vous semblez être préoccupé par la sécurité des informations et le fait que l'attaquant potentiel ait choisi votre voiture, je suppose que le port USB de votre voiture n'est pas uniquement alimenté.
Le téléphone pourrait faire n'importe quoi sur ce port USB car chaque périphérique USB peut s'identifier comme n'importe quel périphérique (stockage, clavier, réseau, écran, ...). Ayez une recherche de mauvais USB.
Le vecteur d'attaque le plus critique est le système de bus dans votre voiture. CAN est le protocole le plus connu mais il en existe d'autres qui s'appuient sur lui comme UDS (qui est encore faible du point de vue de la sécurité). Vous pouvez l'imaginer comme un réseau dans votre voiture où tous les composants peuvent communiquer entre eux avec plus ou moins de restrictions.
Voici quelques scénarios possibles:
Le port USB pourrait être à double usage comme port de maintenance, ce qui pourrait permettre un accès complet au système de bus de voiture.
Le système multimédia de voiture pourrait avoir une vulnérabilité qui pourrait permettre une élévation de privilèges au système de bus. (De par sa conception, le système multimédia doit être isolé des composants critiques du bus, mais en pratique, tous les fournisseurs ne le font pas.)
Si votre voiture prend en charge une sorte de fonctionnalités sans fil pour le déverrouillage et le démarrage, cela pourrait faire partie d'une technique d'exploitation.
La voiture pourrait être utilisée comme pont entre l'appareil attaquant et votre téléphone (si elle est associée d'une manière ou d'une autre à votre voiture via Bluetooth ou WiFi) pour une sorte d'attaque contre votre téléphone.
Le système multimédia de la voiture pourrait être infecté par une sorte de malware ciblant votre smartphone ou d'autres appareils connectés.
Les logiciels malveillants qui ciblent directement votre voiture (comme les ransomwares par exemple) seraient également possibles, mais j'espère vraiment que cette industrie n'en est pas encore à ce stade.
Juste pour avoir un aperçu de certains détails ou pour vous distraire pour une raison quelconque.
Juste pour en nommer quelques-uns. Toutefois. Il s'agit d'un scénario de question et d'attaque très intéressant. J'aurais peut-être donné à cette personne 100 $ juste pour connaître son intention réelle en échange de ne pas appeler les flics immédiatement.
Sans pouvoir rechercher les vulnérabilités des véhicules, nous ne pouvons pas vraiment vous le dire. Il est certainement possible qu'il y ait eu une sorte d'exploitation automatique dans la gestion USB de votre véhicule.
Nous aurions besoin de connaître votre modèle spécifique, puis nous devions acheter et tester le véhicule. Après quoi, nous aurions besoin de faire beaucoup de tests. Cependant, étant donné que la sécurité est une réflexion après coup pour la plupart des développeurs, je dirais que c'est certainement possible.
En bout de ligne, je voudrais pas laisser les gens faire cela.
Les attaques via USB et d'autres interfaces de voiture telles que la chaîne stéréo sont des risques connus dans les voitures modernes. Des recherches ont montré que les voitures à l'épreuve peuvent être compromises via diverses entrées, y compris les systèmes de divertissement.
Considérez ce qui suit de cet article de IT World :
Ils ont trouvé de nombreuses façons d'intervenir. En fait, les attaques sur Bluetooth, le réseau cellulaire, les fichiers musicaux malveillants et via les outils de diagnostic utilisés chez les concessionnaires étaient toutes possibles, si difficiles à réaliser, a déclaré Savage. "Le moyen le plus simple reste ce que nous avons fait dans notre premier article: branchez-vous dans la voiture et faites-le", a-t-il déclaré.
Pour une lecture plus approfondie, cet article (lié à l'article précédent) décrit certaines des recherches concernant "l'accélération involontaire". Certains des exemples comprenaient la possibilité de faire des choses comme couper les freins, couper le moteur, falsifier les relevés de l'indicateur de vitesse et verrouiller les portes.
Cela étant dit, je doute fortement qu'ils voulaient pirater votre voiture. Plus probablement, ils voulaient vous voler, ou accrocher tout ce qui était facile à saisir sur le tableau de bord/siège, ou peut-être même essayer de voler la voiture elle-même.
Cela dépend du type de port USB dont vous disposez. Si vous avez un port USB alimenté uniquement (c'est-à-dire dans votre adaptateur allume-cigare), rien ne peut être fait pour attaquer le véhicule. D'un autre côté, si votre port USB est un port de données pour certains appareils, les vulnérabilités pourraient être assez étendues. Lors de l'évaluation des risques, tenez compte des capacités de l'appareil avec les données USB. Par exemple, si vous n'avez qu'un système stéréo avec un port de données USB, seul le système stéréo est vulnérable. Cependant, si votre port de données vous permet de connecter des appareils à un ordinateur qui exploite des systèmes de sécurité pour la voiture, les risques sont assez importants. Les vulnérabilités exactes qui pourraient entraîner l'activation de ces risques dépendent de vos politiques de fabrication d'ordinateurs et de constructeurs automobiles, y compris les politiques de mise à jour, les vulnérabilités du système d'exploitation, etc.
Il est sage de ne pas connecter un appareil étrange à un port de données USB qui s'interface avec l'ordinateur principal de votre voiture.