Хакеры используют Nokia 3310 для запуска автомобиля Toyota

По данным Autoevolution , недавно опубликованный на YouTube видеоролик демонстрирует мужчину, сидящего в Toyota и многократно нажимающего кнопку рядом с рулевым колесом. Мигающий красный индикатор означает, что двигатель не заводится из-за отсутствия ключа. Мужчина тут же достаёт телефон Nokia 3310 и подключает его к автомобилю чёрным кабелем. В это время он прокручивает несколько вариантов на небольшом ЖК-дисплее 3310, на котором отображается надпись «Подключиться. Получить данные».

Исследователи утверждают, что в этом случае злоумышленник получит полный доступ к функциям автомобиля, включая разблокировку дверей и запуск двигателя. Это может сработать на ряде моделей Toyota, включая RAV4 и Land Cruiser. Это связано с тем, что злоумышленник может отправить поддельное сообщение об аутентификации ключа в блок управления двигателем (ЭБУ). Поскольку некоторые модели Toyota принимают сообщения от внешних ЭБУ, злоумышленник может создать устройство, имитирующее вторичный ЭБУ, отправляя поддельное сообщение для запуска двигателя и начала движения без использования брелока.

Уязвимость затронула не только Nokia 3310, ей подвержены многие другие телефоны. Помимо некоторых моделей Toyota, уязвимость также затрагивает автомобили Lexus и Maserati. Стоимость устройств, использующих уязвимость, начинается от 2700 до 20 000 долларов США.

По словам исследователей, для устранения уязвимости автопроизводителям необходимо добавить криптографическую защиту к сообщениям CAN (Control Area Network). Это фактически блокирует сообщения из источников, отличных от авторизованных ЭБУ. Однако до сих пор Toyota, по всей видимости, игнорировала все призывы к выпуску исправления, несмотря на растущее число подобных взломов. Именно по этой причине исследователи решили раскрыть информацию об уязвимости, полагая, что только в этом случае Toyota выпустит исправление.

На данный момент неясно, рассмотрит ли Toyota отчет и разработает исправление для устранения этой существующей уязвимости.