🚘 Carsharing pod útokem: Sociální inženýrství a digitální zneužití sdílených vozidel
Patrik Bursík
3 minuty čtení
Zdroj náhledové fotografie je freepik.com
Carsharing je pohodlný. Otevřeš auto přes appku, jedeš, vrátíš, hotovo. Ale co když někdo ovládne tvůj účet, přesměruje tvoji rezervaci, nebo tě zmanipuluje, abys mu „pomohl odemknout auto“? V tomto článku rozebíráme reálné scénáře sociálního inženýrství v carsharingu a jak proti nim bojují moderní systémy jako BMW OS X nebo Honda ASIMO OS.
🧠 1. Proč je carsharing zranitelný?
Carsharingová vozidla mají:
- Vzdálený přístup (OTA odemykání, OTA start),
- Dočasné přihlašování uživatelů přes mobilní aplikace,
- Často jsou zaparkovaná veřejně a bez dohledu.
Útočník nemusí být hacker – stačí být dostatečně přesvědčivý. Právě tady přichází na scénu sociální inženýrství.
🧪 2. Scénář: „Prosím, otevři mi auto, nechce mi fungovat aplikace“
🧑💼 Útočník:
- Vyhlédne si konkrétní vozidlo v síti (např. přes mapu v appce),
- Osloví osobu, která vůz rezervuje – např. u auta nebo online:
„Ahoj, máš teď ten Golf? Já jsem měl rezervaci, ale aplikace mi to nějak zrušila. Můžeš mě tam pustit, je to moje jízda…“ - Využívá časový tlak, nervozitu, důvěřivost.
🎯 Cíl:
- Využít „laskavost“ nebo nedůslednost uživatele k přístupu do auta,
- Nebo zneužít mobilní aplikaci – přeposlat kód, zkopírovat session cookie, připojit se přes Bluetooth jako druhý uživatel.
🛡️ 3. Ochrana v systému BMW OS X (sdílené vozidla – např. DriveNow)
🔐 Session-bound přihlášení
- Každé přihlášení je vázané na:
- konkrétní zařízení (fingerprint),
- konkrétní lokalitu a čas,
- identitu řidiče.
📲 Protokol „UWB handshake“
- Uživatel musí být ve fyzické blízkosti vozu a s klíčem (nebo telefonem s BMW ID),
- Bez UWB potvrzení se auto neodemkne ani při platné rezervaci.
👤 Fyzická autorizace
- Při jakémkoliv ručním odemykání se spouští selfie ověření přes kameru ve voze.
- Systém porovná obličej se záznamem uživatele.
🛡️ 4. Ochrana v systému Honda ASIMO OS (sdílené platformy – např. e:Ny1 fleet)
🔁 Jednorázový QR přístup
- Honda vyžaduje fyzické ověření skrz QR kód z vozidla + PIN v aplikaci,
- Pokud někdo zkopíruje nebo sdílí PIN – druhý přístup je automaticky zablokován.
🧠 AI sledování přístupu
- ASIMO OS sleduje, zda vozidlo není přistupováno z podezřelých lokací, IP adres nebo anonymních zařízení.
📵 Bez připojení = žádný přístup
- Při výpadku internetu nebo Bluetooth handshake se přístup zruší – na rozdíl od jiných systémů se vůz nezamyká „offline“, což omezuje pokusy o přístup skrz manipulaci.
📊 Srovnání systémů
| Ochranný prvek | BMW OS X (DriveNow) | Honda ASIMO OS (e:Ny1 Fleet) |
|---|---|---|
| Vázání přihlášení | Zařízení + lokalita + fingerprint | QR + PIN + zařízení |
| Ochrana proti sdílení účtu | Selfie verifikace přes kameru | Blokace paralelních přístupů |
| Reakce na podezřelý přístup | Zamknutí + log + vSOC alert | Zneplatnění tokenu, vyžadování znovupárování |
| Detekce sociálního inženýrství | Kamera + audio analýza kontaktu u vozu | Záznam neobvyklého přihlášení |
🔎 5. Další zneužitelné scénáře
- Zneužití Bluetooth relace – připojení jako „passenger“ a získání dat o trase.
- Falešný support call – útočník volá uživateli jako „zákaznická podpora“ a vyžádá si OTP/PIN.
- Offline hack pomocí donglu – pokus o diagnostické připojení během „servisního okna“.
✅ Doporučení pro uživatele carsharingu
- Nikdy nedávej nikomu přístup ke svému účtu, PINu nebo telefonu – ani „na chvíli“.
- Pokud tě někdo žádá o odemknutí auta, kontaktuj zákaznickou linku – neodpovídej rovnou.
- Vždy si ověř, že aplikace ukazuje správný čas, lokaci a vozidlo.
- Vypni Bluetooth, pokud jsi mimo vozidlo, a aktivuj dvoufázové ověření v aplikaci.
- Sleduj notifikace a historii přihlášení ve své carsharing aplikaci.
👉 Chceš rozbor útoku přes Bluetooth pairing, nebo třeba scénář napadení mobilní aplikace výrobce (OTA phishing)? Dej vědět – připravím další hluboký technický článek.
Zdrojem fotografií v tomto příspěvku je: freepik.com
