Κενά ασφαλείας στα «έξυπνα» αυτοκίνητα: Πώς μια ευπάθεια θα μπορούσε να δώσει σε χάκερ τον έλεγχο του οχήματος

Πέμπτη, 00:01 - 13/11/2025

Μία από τις πιο ανησυχητικές προειδοποιήσεις για το μέλλον της συνδεδεμένης αυτοκίνησης προήλθε από το Security Analyst Summit 2025, όπου η Kaspersky αποκάλυψε την ύπαρξη σοβαρής ευπάθειας στην υποδομή γνωστής αυτοκινητοβιομηχανίας.

Το κενό ασφαλείας, που εντοπίστηκε σε εφαρμογή εξωτερικού συνεργάτη του κατασκευαστή, θα μπορούσε να επιτρέψει σε επιτιθέμενους να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε όλα τα συνδεδεμένα οχήματα του brand — με κίνδυνο ακόμη και για τη σωματική ασφάλεια οδηγών και επιβατών.

Ευπάθεια zero-day με δυνατότητα απομακρυσμένου ελέγχου

Το περιστατικό αναδεικνύει ότι, όσο τα αυτοκίνητα μετατρέπονται σε «κινητούς υπολογιστές», οι κυβερνοαπειλές περνούν κυριολεκτικά στον δρόμο.
Η ευπάθεια ήταν τύπου zero-day SQL injection σε wiki εφαρμογή συνεργάτη, επιτρέποντας στους ερευνητές της Kaspersky να αποκτήσουν πρόσβαση σε λίστες χρηστών και κωδικών πρόσβασης. Από εκεί, μπόρεσαν να εντοπίσουν ευαίσθητες πληροφορίες για τη διαμόρφωση της υποδομής τηλεματικής του κατασκευαστή και, τελικά, να αποκτήσουν έμμεση πρόσβαση σε server τηλεματικής των οχημάτων.

Η έρευνα αποκάλυψε επιπλέον λανθασμένες ρυθμίσεις firewall, που άφηναν εκτεθειμένους εσωτερικούς servers του κατασκευαστή. Αξιοποιώντας τα διαπιστευτήρια που είχαν ήδη αποκτήσει, οι ερευνητές εισήλθαν στο σύστημα αρχείων και εντόπισαν στοιχεία που παρείχαν πλήρη έλεγχο στην υποδομή τηλεματικής.

Πρόσβαση στο «νευρικό σύστημα» του αυτοκινήτου

Το πιο ανησυχητικό εύρημα ήταν η δυνατότητα αποστολής εντολής ενημέρωσης firmware, που επέτρεπε την εγκατάσταση τροποποιημένου λογισμικού στη Μονάδα Ελέγχου Τηλεματικής (Telematics Control Unit – TCU).
Μέσω αυτής, οι ερευνητές απέκτησαν πρόσβαση στο δίκτυο CAN (Controller Area Network) — το «νευρικό σύστημα» του αυτοκινήτου, που συνδέει κινητήρα, αισθητήρες, φρένα και κιβώτιο ταχυτήτων.
Σε πραγματικές συνθήκες, αυτό θα μπορούσε να επιτρέψει παρέμβαση σε κρίσιμες λειτουργίες, όπως η αλλαγή ταχυτήτων ή ακόμη και το σβήσιμο του κινητήρα εν κινήσει.

Συχνά λάθη, μεγάλες συνέπειες

«Τα κενά ασφαλείας προκύπτουν από προβλήματα που είναι εξαιρετικά συνηθισμένα στον κλάδο: δημόσια προσβάσιμες διαδικτυακές υπηρεσίες, αδύναμους κωδικούς, απουσία πιστοποίησης δύο παραγόντων (2FA) και μη κρυπτογραφημένη αποθήκευση δεδομένων», εξηγεί η Kaspersky.
Η υπόθεση δείχνει πώς ένα μόνο αδύναμο σημείο στην αλυσίδα συνεργατών μπορεί να οδηγήσει σε πλήρη παραβίαση όλων των συνδεδεμένων οχημάτων.
«Η αυτοκινητοβιομηχανία οφείλει να υιοθετήσει ισχυρές πρακτικές κυβερνοασφάλειας, ειδικά όταν πρόκειται για συστήματα τρίτων», τονίζει η εταιρεία.

Η επόμενη μέρα για την αυτοκινητοβιομηχανία

Με βάση τα ευρήματα, η Kaspersky εξέδωσε συστάσεις προς τον κλάδο.
Για τους εξωτερικούς συνεργάτες, ζητά περιορισμό της πρόσβασης μέσω VPN, εφαρμογή ισχυρών πολιτικών κωδικών και 2FA, κρυπτογράφηση δεδομένων και υιοθέτηση συστημάτων SIEM για συνεχή παρακολούθηση.

Για τους κατασκευαστές, προτείνει περιορισμό της πρόσβασης στις πλατφόρμες τηλεματικής, χρήση allowlists για δικτυακές αλληλεπιδράσεις, απενεργοποίηση ελέγχου SSH με κωδικούς και ελαχιστοποίηση δικαιωμάτων πρόσβασης στα κρίσιμα συστήματα.

Η υπόθεση λειτουργεί ως καμπανάκι κινδύνου: στη νέα εποχή της συνδεδεμένης κινητικότητας, η κυβερνοασφάλεια δεν είναι πλέον τεχνική επιλογή — αλλά ζήτημα ζωής και ασφάλειας.

Greek Finance Forum Team

Σχόλια Αναγνωστών

Αποποίηση Ευθύνης....