Новые модели яхт, на которых установлены IoT-устройства с маршрутизаторами, могут стать объектами атаки со стороны хакеров, как и любое устройство, имеющее интернет-подключение.
По словам исследователя информационной безопасности Стефана Герлинга, выступавшего на конференции в мексиканском городе Канкун, современные яхты имеют большое количество уязвимостей, которые хакеры потенциально могут использовать. Так, бортовой маршрутизатор имеет незащищенный протокол FTP.
По словам эксперта, к бортовой сети яхты подключены устройство для слежения за судами, система автоматической идентификации, автопилот, GPS-датчики, радар, камеры, датчики глубины, системы контроля за двигателем. Так как перечисленный выше функционал связан с сетью, которая может управляться внешним устройством (смартфон либо планшет), хакер может осуществить взлом данных устройств и захватить контроль над судном.
В ходе своего выступления Герлинг открыл приложение для управления яхтой на планшете, телефоне и компьютере, подключился к маршрутизатору и осуществил загрузку XML-файла с настройками конфигурации. Так, специалист получил доступ к учетным данным маршрутизатора и SSID сети Wi-Fi. Как утверждает эксперт, так как передача файла осуществляется с помощью небезопасного протокола FTP, хакеры могут без труда перехватить его, а затем взять маршрутизатор и сеть под свой контроль.
Кроме того, в операционной системе маршрутизатора выявлена учетная запись с суперпользовательскими правами, которую разработчики создали, скорее всего, для дистанционной технической поддержки.
Производитель уязвимых яхт разработал патч, который устраняет часть из перечисленных проблем безопасности. Обновление внесло изменения в протокол FTP маршрутизатора яхты на SSH, но аккаунты с суперпользовательскими правами так и не был устранен.
