Pourquoi Android Auto me fait peur

Les fabricants qui ont signé pour soutenir Android Auto se lit comme un bottin mondain de l'industrie automobile, et comprend Abarth, Acura, Alfa Romeo, Audi, Bentley, Chevrolet, Chrysler, Dodge, Fiat, Ford, Honda, Hyundai, Infiniti, Jeep , Kenwood, Kia, Maserati, Mazda, Mitsubishi, Nissan, Opel, Pioneer, RAM, Renault, Seat, Skoda, Subaru, Suzuki, Volkswagen et Volvo.

Sans aucun doute, Android Auto est une idée fantastique. Plutôt que de pilotes de prendre leurs yeux de la route, la recherche de leur téléphone quand il sonne et d'essayer de répondre à un appel, tout en conduisant d'une main, en utilisant Android automatique, le conducteur regarde tout simplement sur le tableau de bord, voit la personne qui appelle, et peut répondre ou rejeter l'appel avec une simple commande vocale, le cas échéant. Les conducteurs peuvent également avoir lu les messages entrants à leur disposition, ainsi que diktat et envoyer des messages. Une autre grande caractéristique d'Android Auto est l'accès à vos fichiers multimédias, ainsi que des services de streaming. Il ya beaucoup à être excité à propos de ce qui concerne Android Auto, et je suis l'un de ses plus grands fans. Cependant, quelques développements récents ont m'a laissé en doute la volonté de Google et les constructeurs automobiles. Récemment, mon inquiétude a grandi dans la peur pure et simple à la perspective d'Android Auto et l'utilisation accrue de logiciels dans les voitures modernes.

HackingTeam et RCS Android

Mais ce qui est pire est que Hacking Team se a été piraté.

Hacking Team est une société basée en Italie qui vend des intrusions et la surveillance des logiciels pour les gouvernements à travers le monde. Leur suite logicielle comprend des outils pour compromettre les appareils Windows, Mac, iOS et Android. Pour Android, ils pourraient prendre le contrôle d'un dispositif à travers l'installation d'une application apparemment inoffensif, qui contient initialement aucun code malveillant. Cependant, une fois installée, l'application utilise le chargement dynamique de télécharger et d'exécuter leur charge utile de logiciels espions. Ce logiciel espion, appelé Android RCS (Remote Control System Android) a été décrit comme le malware Android le plus sophistiqué découvert jusqu'ici. RCS Android peut écouter et enregistrer les conversations en utilisant le microphone de l'appareil, des captures d'écran et des photos, enregistrer les appels vocaux, la piste l'emplacement de l'appareil, saisir les deux mots de passe Wi-Fi et de compte en ligne, de recueillir des messages SMS, MMS, Gmail et de messagerie instantanée, ainsi que les contacts de l'appareil . En outre, il peut télécharger toutes ces données à un serveur de commande, se mettre à niveau, obtenir un accès root, et se désinstaller.

Il est assez effrayant qu'il ya des logiciels malveillants qui il peut faire tout cela, mais ce qui est pire est que Hacking Team se a été piraté, et plus de 400 Go de données de l'entreprise a été mis en ligne. Cette mine de données contient le code source de leurs applications, les logiciels espions, les botnets, ainsi que les e-mails de l'entreprise et d'autres données. Merci à l'équipe Hacking, tout ce code est à l'état sauvage, et sera étudié, modifié et utilisé.

Stagefright (et d'autres)

Stagefright, est une vulnérabilité Android vraiment effrayant. Il a été découvert par Joshua Drake, un chercheur de les zLabs de Zimperium. Drake a découvert qu'un MMS spécialement conçus peuvent être envoyés à un dispositif Android vulnérables, et, avant une notification est même présenté, le dispositif peut être compromise. La vulnérabilité Stagefright utilise le fait que, par défaut, les applications de messagerie télécharger automatiquement les images MMS.

On estime qu'environ 95% (950 millions) des appareils Android où vulnérables au moment de son divulgation à la presse. Les 5% de dispositifs non vulnérables sont vraiment vieux appareils, exécutant des versions Android de moins que Android 2.2. Stagefright est tous les pirates de rêve humide, dans lequel un dispositif est compromise complètement à distance, sans interaction de l'utilisateur, permet une livraison de charge utile arbitraire, et toutes les traces de le hack peut être complètement anéanti.

Bien que Drake a été en contact avec Google sur les vulnérabilités, et envoyé des correctifs à Google dès 9 Avril appareils Nexus de Google (les enfants d'affiches pour les mises à jour rapides et les mises à niveau) sont juste de patchés cinq mois plus tard.

Bien que le hack Chrysler est le plus récent, il ya eu un flux régulier de pépins logiciels de voitures en relation au cours des dernières années.

Pour compliquer le problème, il est de 2015 à 3825 CVE-découvert par l'équipe de recherche la sécurité des applications X-Force d'IBM. Elle affecte les appareils Android de 4.3 et ci-dessus, y compris la version encore inédit Android M. Une application disposant pas d'autorisations (oui vous avez bien lu), peut aggraver ses privilèges et de devenir un super-soft, posséder essentiellement le dispositif (presque comme app Hacking équipe, mais encore plus sinistre). Ce couvre environ 55% des appareils Android disponibles aujourd'hui. Heureusement, cette vulnérabilité est encore sous le boisseau, mais nous ne pouvons qu'espérer et prier pour que les méchants ont pas trouvé et / ou l'exploitation ne sont pas actuellement il.

Avec Stagefright et RCS Android, un attaquant pourrait infecter pratiquement tous les téléphone Android sur la planète, sans que personne ne remarque. Dans le film Ex-Machina, Nathan (qui possède un moteur de recherche de type Google), dit-il piraté chaque téléphone cellulaire sur la planète pour obtenir l'appareil photo et audio. Quelle devrait être la fiction tout court, ne semble désormais pas que farfelue plus.

Chrysler et Ford Hack Recall

Andy Greenberg de Wired a également eu une course avec un couple de pirates, Charlie Miller et Chris Vasalek, qui ont démontré leur capacité à compromettre un Jeep Cherokee complètement à distance. Dans le cas où vous êtes trop occupé pour aller lire l'article complet, les pirates ont envoyé des commandes par l'intermédiaire du système de divertissement de la voiture, et a ordonné la voiture à tourner sur son CA au maximum, ont changé la station de radio, a changé l'affichage de tableau de bord pour une image d'eux-mêmes, allumé les essuie-glaces, couper la transmission de la voiture et dégager les freins. Notez que cela était une voiture qu'ils avaient pas modifié en aucune façon, et tout ce qui précède a été fait sur Internet, en utilisant une vulnérabilité dans le système de divertissement. Permettez-moi de souligner que, sur Internet, les pirates, où en mesure de réduire la transmission de la voiture et désengager les freins de la voiture.

Alors que les chercheurs ont partagé leur travail avec Chrysler au cours des neuf derniers mois, il ne inspire pas beaucoup confiance en moi autant que l'avenir des voitures connectées vont.

Bien que le hack Chrysler est le plus récent, il ya eu un flux régulier de pépins logiciels de voitures en relation au cours des dernières années. En Juin, par exemple, Ford a dû rappeler plus de 430.000 voitures (y compris 2015 Focus, C-Max et Escape modèles) de mettre à jour le logiciel, car la suppression de la clé de contact peut ne pas être suffisant pour éteindre le moteur de la voiture!

Aucune de ces hacks, jusqu'ici, implique Android Auto, mais ils méritent d'être mentionnés pour montrer que les constructeurs automobiles ont des problèmes avec des logiciels dans les véhicules. Bien que je ne peux pas aider mais reconnaître que les logiciels dans les véhicules a des avantages incroyables (ABS, l'amélioration de l'efficacité énergétique, etc.).

Pourquoi si sérieux?

Avec la quantité d'information que nos smartphones détiennent lié à nos vies et les finances, un smartphone piraté est une source majeure d'inquiétude et de maux de tête. Cependant, ayant un smartphone complètement compromis est pas nécessairement la vie en danger, pour moi-même ou les gens autour de moi.

Quand une voiture décide de rompre arbitrairement ces ensemble donné de règles, elle pose un grand danger non seulement pour ses occupants, mais à d'autres véhicules, ainsi que les piétons.

Certes, beaucoup de mes activités en utilisant mon smartphone, ou à proximité de mes téléphones, pourrait être gênant si rendu public. Plus important encore, un nombre très élevé de propriétaires de smartphone effectuer des transactions financières par le biais de leurs téléphones, et un téléphone piraté peut entraîner des pertes financières massives. Avec une automobile piraté, le potentiel de dommages, les blessures et la perte de la vie est beaucoup plus grande.

À l'heure actuelle, Android est un système automatique strictement informations / de divertissement, et ne peut être utilisé pour contrôler, gérer et / ou surveiller les opérations de la voiture. Toutefois, les API Android automobile indiquent que l'interrogation de diagnostic de voitures fait partie des plans futurs. Les deux constructeurs automobiles et Google ont à prendre des mesures supplémentaires pour assurer Android Auto est correctement isolé et bac à sable. Malheureusement, avec leur bilan à ce jour, je ne retiens pas mon souffle.

Conclusion

La partie effrayante de ce est pas le logiciel dans les automobiles ou Android lui-même. Individuellement, ils sont une préoccupation, mais l'idée des deux ensemble est assez troublant. Et la même chose peut être dite des deux Carplay d'Apple et Windows Automotive de Microsoft.

Microsoft, sans doute la plus grande et la plus importante société de logiciels dans le monde d'aujourd'hui, a encore des questions entourant son logiciel la plus lucrative (Windows si vous avez pas deviné), ce qui est de leur capacité à pousser les mises à jour régulièrement. À quelle fréquence les constructeurs automobiles peuvent pousser les mises à jour? Comment sont les mises à jour vont être installés? Les utilisateurs peuvent décider de rejeter une mise à jour? Qui devient responsable quand un utilisateur rejette une mise à jour, pour une raison quelconque, et la voiture est compromise dans le milieu d'un trajet? Qui est responsable si la voiture est compromise utilisant Android Auto?

Ne pas oublier que, même si vous vous abstenez de l'achat d'un de ces monstres, toute autre voiture sur la route peut être l'un de ceux-ci, et arriver à être la machine malchanceux infiltré par l'adolescent ennuyer dans la cave de sa mère en Afrique de l'Est (remplacer par presque partout ailleurs dans le monde). La sécurité de nos routes sont fondées sur la conviction que chaque conducteur suit un ensemble de règles. Quand une voiture décide de rompre arbitrairement ces ensemble donné de règles, elle pose un grand danger non seulement pour ses occupants, mais à d'autres véhicules, ainsi que les piétons.