Istnieją pewne praktyki w kontekście tworzenia aplikacji, które ulepszają nie tylko doświadczenie użytkownika w trakcie pracy z nią, ale także istotnie wpływają na bezpieczeństwo. Jak się okazuje, eksperci z XSolve postanowili sprawdzić program służący do obsługi samochodów ze stajni Elona Muska - wnioski są co najmniej niepokojące.
Aplikacja Tesla służąca do obsługi samochodu tej marki pozwoli Ci na sprawdzenie poziomu naładowania akumulatorów samochodu, pokaże Ci gdzie znajduje się Twoje auto, a nawet pozwoli Ci otworzyć do niego drzwi. Do konta w usłudze należy dodać samochód, który należy do nas - odtąd będziemy mogli zarządzać nim z poziomu tylko smartfona. Co jeśli ktoś przejmie nasze dane i będzie za ich pomocą mógł zlokalizować nasze auto lub nawet uruchomić w nim silnik? Przed tego typu scenariuszem z reguły chroni nas uwierzytelnianie dwuskładnikowe - tego akurat w programie Tesli brak.
Na domiar złego, jeżeli ktokolwiek zaloguje się do usługi, nawet z bardzo odległej lokalizacji niż ostatnia, program w żaden sposób nie ostrzeże nas przed tym faktem. Google bardzo często informuje mnie o tym, że loguję się z nieznanego sprzętu / lokalizacji - mimo, że to jestem ja i nic złego się nie dzieje. Ale na kilkanaście takich false positives może przypadać jeden poważny przypadek wskazujący na włamanie - w takiej sytuacji mogę odpowiednio zareagować i powstrzymać wyciek danych. W przypadku Tesli: nie da rady. Czy aby Elon Musk nie za bardzo wierzy zabezpieczeniom w swoim programie?
Piotr Majchrzak, CEO XSolve to szczęśliwy posiadacz modelu X - odkąd zaczął parkować tym samochodem pod biurem, zastanawiano się, czy można złamać ten samochód. Okazało się, że najprościej będzie to zrobić z wykorzystaniem aplikacji mobilnej. To stanowi niesamowicie ważny dowód na to, że nawet w tak popularnych i medialnie nośnych firmach jak Tesla... poziom zabezpieczeń w dziedzinie IoT leży i kwiczy. Nie chodzi tutaj o aktualizacje, bezprecedensowe luki, czy też istotne niewymagania po stronie infrastruktury. Nie mamy do czynienia z akceptowalnymi praktykami na poziomie prewencji - uwierzytelnianie dwuskładnikowe czy też alerty o podejrzanych logowaniach to właściwie standard, którego od lat trzymają się najwięksi giganci rynku IT. Tesla zdaje się mieć z tym problem.
Dlatego też, XSolve, oprócz besztania Tesli za słabe - również naszym zdaniem standardy zaproponowało pewne zmiany w programie, które na pewno użytkownikom wyjdą na dobre. Pytanie tylko, czy Tesla w ogóle zwróci na nie uwagę. Mimo, że XSolve nie specjalizuje się w bezpieczeństwie - jako twórca programów musi zwracać uwagę na przyjęte w branży dobre standardy. Cieszymy się, że polska firma nie boi się, dumnie oznajmia o znalezionych przez siebie niedomaganiach i co ważne - proponuje rozwiązania.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
