Honda Civic infotainment sustav navodno se može kompromitirati putem USB-a zbog javno poznatih Android testnih ključeva

Softverski arhitekt Eric McDonald otkrio je da infotainment sustav njegova Hondinog Civica iz 2021. ima ozbiljnu ranjivost kroz prednji USB priključak. Kako navodi na svojem blogu, Honda taj head unit omogućuje ažurirati putem USB-a, ali uređaj, prema njegovu opisu, traži samo potpisanu AOSP datoteku s javno poznatim testnim ključem.

Ako netko zna pripremiti USB pogon i potpisati ga tim AOSP testnim ključem, mogao bi potencijalno instalirati bilo što na head unit kroz putanju za ažuriranje. McDonald pritom ističe da se taj pristup može iskoristiti i za tzv. „evil maid” napad, odnosno za kompromitiranje uređaja tijekom privremenog fizičkog pristupa. U njegovu primjeru to znači da bi se vozilo ostavilo s valetom, a ta bi osoba zatim mogla instalirati zlonamjerni softver na infotainment sustav, zbog čega je napad nazvao „EvilValet”.

Nakon instalacije aplikacije ili malwarea, sustav bi mogao koristiti senzore u vozilu za snimanje razgovora, praćenje lokacije i čak hvatanje videozapisa, bez da vlasnik to primijeti. Zatim bi, prema opisu, mogao iskoristiti bežične mogućnosti infotainmenta, poput Bluetootha, Wi-Fija ili mobilne veze, za iznošenje prikupljenih podataka.

McDonald pritom navodi da ova ranjivost ne utječe na sigurnost samog vozila, jer je zlonamjerni softver ograničen na infotainment sustav. To znači da napadač i dalje ne može daljinski upravljati motorom ili kočnicama, mijenjati sigurnosne značajke ili otključati vozilo. Ipak, riječ je o ozbiljnom pitanju privatnosti i sigurnosti, posebno zato što je Honda Civic vrlo popularan model. Upozorava i da bi se ista ranjivost mogla nalaziti i u drugim markama i modelima, osobito ako proizvođači ugrađuju isti hardver ili softver za infotainment u više vozila.

Ranjivosti ovakve vrste poznate su već godinama u automobilskoj industriji. McDonald podsjeća i na raniji primjer Volkswagena, koji prema izvještaju nije zakrpao propust na modelima VW i Audi jer nisu imali mogućnost OTA ažuriranja. Spominje i objavu iz 2017. na WikiLeaksu, koja sugerira da je CIA proučavala mogućnost daljinskog preuzimanja kontrole nad automobilima kroz ranjivosti vozila. Uz sve više internet povezivosti i softverskih funkcija, takvi problemi i dalje ostaju dio šire rasprave o sigurnosti automobila.