Πώς μια αδυναμία λογισμικού μπορεί να θέσει σε κίνδυνο οδηγούς σε όλο τον κόσμο
Μια ευπάθεια σε σύστημα τηλεματικής αποκαλύπτει τους πραγματικούς κινδύνους της “έξυπνης” οδήγησης.
Μια επίθεση στο αυτοκίνητο του μέλλοντος ίσως να μη χρειάζεται όπλα, αλλά γραμμές κώδικα. Στο Security Analyst Summit 2025, η Kaspersky παρουσίασε τα αποτελέσματα ενός ελέγχου ασφαλείας που αποκάλυψε μια εξαιρετικά επικίνδυνη ευπάθεια σε εφαρμογή συνεργάτη μεγάλου κατασκευαστή αυτοκινήτων.
Το κενό αυτό επιτρέπει τη μη εξουσιοδοτημένη πρόσβαση σε όλα τα συνδεδεμένα οχήματα της εταιρείας, αναδεικνύοντας με τον πιο ξεκάθαρο τρόπο πόσο ευάλωτα μπορούν να γίνουν τα σύγχρονα συστήματα τηλεματικής όταν δεν προστατεύονται σωστά.
Για όσους δεν την γνωρίζουν η Kaspersky είναι διεθνής εταιρεία κυβερνοασφάλειας και ψηφιακής ιδιωτικότητας, που ιδρύθηκε το 1997. Έχει προστατεύσει πάνω από ένα δισεκατομμύριο συσκευές παγκοσμίως και συνεργάζεται με σχεδόν 200.000 επιχειρήσεις και οργανισμούς.
Η ευπάθεια ήταν τύπου zero-day — δηλαδή άγνωστη μέχρι τη στιγμή της ανάλυσης — και εντοπίστηκε σε μια εφαρμογή ανοιχτής πρόσβασης που χρησιμοποιούσε εξωτερικός συνεργάτης του κατασκευαστή. Μέσω αυτής, κακόβουλοι χρήστες θα μπορούσαν να αποκτήσουν έλεγχο στο τηλεματικό σύστημα των οχημάτων, να εκτελέσουν εντολές και να επηρεάσουν βασικές λειτουργίες, όπως την ταχύτητα ή τον κινητήρα. Ουσιαστικά, ένας χάκερ θα μπορούσε να «σβήσει» τον κινητήρα ενώ το όχημα βρίσκεται σε κίνηση ή να επέμβει στο κιβώτιο ταχυτήτων, προκαλώντας άμεσο κίνδυνο για οδηγούς και επιβάτες.
Όι αποκαλύψεις για τον κατασκευαστή
Ο έλεγχος ασφαλείας έγινε εξ αποστάσεως και επικεντρώθηκε τόσο στις δημόσια διαθέσιμες υπηρεσίες του κατασκευαστή όσο και στις διαδικτυακές υποδομές των συνεργατών του. Οι ερευνητές εντόπισαν αρκετές εκτεθειμένες υπηρεσίες, μεταξύ των οποίων και μια πλατφόρμα wiki με ευπάθεια SQL injection. Μέσω αυτής, εξήχθη λίστα χρηστών μαζί με hashed κωδικούς πρόσβασης, ορισμένοι από τους οποίους αποκρυπτογραφήθηκαν λόγω αδύναμης πολιτικής ασφαλείας.
Η πρόσβαση αυτή άνοιξε τον δρόμο προς το εσωτερικό σύστημα παρακολούθησης εργασιών (issue tracking system) του συνεργάτη, το οποίο περιείχε ευαίσθητες πληροφορίες για την τηλεματική υποδομή του κατασκευαστή — από αρχεία διαμόρφωσης μέχρι κατακερματισμένους κωδικούς χρηστών server τηλεματικής.
Τα συστήματα τηλεματικής αποτελούν την «καρδιά» των σύγχρονων συνδεδεμένων οχημάτων. Συλλέγουν, αναλύουν και μεταδίδουν κρίσιμα δεδομένα, όπως η θέση του οχήματος, η ταχύτητα, η απόδοση του κινητήρα και οι πληροφορίες συντήρησης. Η πρόσβαση σε τέτοια δεδομένα δεν είναι απλώς τεχνικό ζήτημα — είναι ζήτημα φυσικής ασφάλειας.
Ευπάθειες από την πλευρά του οχήματος
Από την πλευρά του ίδιου του οχήματος, βρέθηκαν λανθασμένες ρυθμίσεις firewall που άφηναν εκτεθειμένους εσωτερικούς servers. Οι ερευνητές, χρησιμοποιώντας έναν κωδικό που είχαν ήδη αποκτήσει, εισήλθαν στο σύστημα αρχείων του server και εντόπισαν διαπιστευτήρια άλλου συνεργάτη, αποκτώντας πλήρη έλεγχο στην υποδομή τηλεματικής.
Το πιο ανησυχητικό εύρημα ήταν η ύπαρξη εντολής αναβάθμισης firmware που επέτρεπε την εγκατάσταση τροποποιημένου λογισμικού στη Μονάδα Ελέγχου Τηλεματικής (Telematics Control Unit – TCU). Μέσω αυτής της οδού, οι ερευνητές κατάφεραν να αποκτήσουν πρόσβαση στο δίκτυο CAN (Controller Area Network), το οποίο διασυνδέει όλα τα κρίσιμα μέρη του οχήματος — τον κινητήρα, τους αισθητήρες, το κιβώτιο ταχυτήτων και τα ηλεκτρονικά συστήματα υποστήριξης.
Από εκεί, η παρέμβαση σε κρίσιμες λειτουργίες γίνεται εφικτή. Ένας επιτιθέμενος θα μπορούσε να τροποποιήσει δεδομένα, να αλλοιώσει τη συμπεριφορά του κινητήρα ή ακόμη και να παραπλανήσει τον οδηγό μέσω ψευδών ενδείξεων στο ταμπλό. Το εύρημα αυτό δείχνει ότι η κυβερνοασφάλεια στα συνδεδεμένα οχήματα δεν αφορά απλώς προστασία δεδομένων, αλλά και τη σωματική ακεραιότητα των ανθρώπων.
Οι αιτίες και τα συνηθισμένα λάθη
Όπως εξηγεί ο Artem Zinenko, επικεφαλής του Kaspersky ICS CERT Vulnerability Research and Assessment, «τα κενά ασφαλείας προκύπτουν από πολύ κοινά λάθη: δημόσια προσβάσιμες υπηρεσίες, αδύναμους κωδικούς, έλλειψη 2FA και μη κρυπτογραφημένη αποθήκευση ευαίσθητων δεδομένων. Μία μόνο αδυναμία σε συνεργάτη μπορεί να οδηγήσει σε πλήρη παραβίαση όλων των συνδεδεμένων οχημάτων».Η συγκεκριμένη υπόθεση δείχνει ότι η ασφάλεια εφοδιαστικής αλυσίδας supply chain είναι πλέον κρίσιμη και για την αυτοκινητοβιομηχανία. Η εξάρτηση από εξωτερικούς συνεργάτες και cloud υπηρεσίες αυξάνει δραματικά την επιφάνεια επίθεσης, καθιστώντας απαραίτητο τον συνεχή έλεγχο και τη συμμόρφωση με διεθνή πρότυπα κυβερνοασφάλειας.
Το θεσμικό πλαίσιο: UNECE WP.29 και οι νέες υποχρεώσεις
Από το 2024, η Ευρωπαϊκή Ένωση εφαρμόζει τον κανονισμό UNECE WP.29, ο οποίος απαιτεί από τους κατασκευαστές οχημάτων να αποδεικνύουν ότι διαθέτουν σύστημα διαχείρισης κυβερνοασφάλειας (CSMS) και διαχείρισης ενημερώσεων λογισμικού (SUMS). Χωρίς πιστοποίηση, κανένα νέο μοντέλο δεν μπορεί να λάβει έγκριση κυκλοφορίας.
Η περίπτωση που αποκάλυψε η Kaspersky αναδεικνύει ακριβώς τη σημασία αυτών των κανόνων. Δεν πρόκειται για «γραφειοκρατία», αλλά για μέτρα που διασφαλίζουν ότι ακόμη και αν υπάρξει αδυναμία σε τρίτο συνεργάτη, δεν θα μπορεί να επηρεάσει άμεσα τα συστήματα ενός οχήματος.
Οι εταιρείες που συμμορφώνονται με το WP.29 οφείλουν να εφαρμόζουν πρόληψη, παρακολούθηση, και ανίχνευση απειλών σε πραγματικό χρόνο — πρακτικές που, σύμφωνα με την Kaspersky, θα πρέπει να θεωρούνται πλέον στάνταρ στην αυτοκινητοβιομηχανία.
Γιατί μας αφορά όλους
Ο μέσος οδηγός ίσως να μη σκέφτεται την κυβερνοασφάλεια όταν μπαίνει στο αυτοκίνητό του, όμως η πραγματικότητα είναι ότι κάθε σύγχρονο όχημα αποτελεί πλέον υπολογιστή σε τροχούς. Από την πλοήγηση και τα συστήματα υποβοήθησης οδήγησης μέχρι τις ενημερώσεις λογισμικού over-the-air, το αυτοκίνητο συλλέγει και ανταλλάσσει δεδομένα συνεχώς.Η παραβίαση ενός τέτοιου συστήματος δεν αφορά απλώς την απώλεια προσωπικών πληροφοριών, αλλά μπορεί να μετατραπεί σε άμεσο φυσικό κίνδυνο. Η συνεργασία μεταξύ εταιρειών κυβερνοασφάλειας και κατασκευαστών δεν είναι δείγμα αδυναμίας — είναι ένδειξη ωριμότητας και πρόνοιας για ένα ασφαλέστερο ψηφιακό μέλλον στους δρόμους.
Για τον οδηγό στην Ελλάδα και στην Ευρώπη, το πρακτικό συμπέρασμα είναι απλό: Το αυτοκίνητο είναι πλέον μέρος του ψηφιακού οικοσυστήματος. Όπως απαιτούμε από μια τράπεζα ή έναν πάροχο cloud να προστατεύει τα δεδομένα μας, έτσι πρέπει να απαιτούμε από τους κατασκευαστές αυτοκινήτων και τους συνεργάτες τους να επενδύουν σοβαρά στην κυβερνοασφάλεια. Η εμπιστοσύνη στις τεχνολογίες συνδεδεμένων οχημάτων δεν χτίζεται με ωραία interface, αλλά με στιβαρές υποδομές ασφαλείας, διαφάνεια, συμμόρφωση με τα ευρωπαϊκά πρότυπα και συνεχή έλεγχο.
