Ďalšia hranica v hackovaní automobilov doug newcomb

Počítačové hackovanie urobilo v poslednej dobe veľa titulkov, aj keď došlo len k jednej dokumentovanej udalosti (čo bola vnútorná práca pred piatimi rokmi).

Najnovšie počítačové hacky nevykonávali zločinci, ale vedci v oblasti bezpečnosti IT, ktorí v posledných niekoľkých týždňoch ukázali, ako získať prístup k Jeepovým kritickým kontrolám, keď sa spustili po diaľnici, spustili vzdialenú aplikáciu GM OnStar od GM, aby otvorili dvere automobilu. a na diaľku naštartovať motor a vypnúť motor modelu Tesla S. Táto hackerská akcia priniesla pozornosť automobilovým robotom spojené s úsilím o automobil a zamerala ich na zvolených úradníkov a súdne spory.

Teraz sa pozornosť zamerala na automobilové zariadenia pripojené na trh s náhradnými dielmi, ktoré sa pripájajú k palubnému diagnostickému portu II vozidla, známymu tiež ako dongles OBD-II. Zariadenia sú už niekoľko rokov a majiteľom vozidiel vyrobených po roku 1996 s možnosťou pripojenia portov ODB-II. Poskytujú ich spoločnosti od veľkých poisťovní automobilov až po desiatky začínajúcich firiem, od monitorovania štýlov jazdy a spotreby paliva až po sledovanie tínedžerov, keď sú za volantom.

Rezanie Corvetteho brzdy

Pred konferenciou o bezpečnosti, ktorá sa konala tento týždeň, vedci z Kalifornskej univerzity v San Diegu (UCSD) odhalili, ako sa im podarilo bezdrôtovo preniknúť do kľúča OBD-II zapojeného do neskorého modelu Corvette. Posielali SMS správy do zariadenia, ktoré zapínalo stierače čelného skla automobilu a prerušovalo brzdy. Vedci poznamenali, že hackovanie bŕzd sa dá vykonať iba pri nízkych rýchlostiach kvôli spôsobu, akým je vozidlo navrhnuté. Dodali však, že útok možno ľahko prispôsobiť takmer každému modernému vozidlu, aby prevzalo kritické komponenty, ako sú riadenie alebo prevodovka.

„Niektoré z nich sme získali, spätne sme ich skonštruovali a zároveň sme zistili, že mali veľa bezpečnostných nedostatkov, “ uviedol Stefan Savage, profesor počítačovej bezpečnosti UCSD, ktorý projekt vedel. Dongles „poskytujú viacnásobné spôsoby diaľkového… ovládania takmer všetkého vo vozidle, s ktorým boli spojené, “ dodal.

Hackerský hardvérový kľúč OBD-II bol vyrobený francúzskou spoločnosťou Mobile Devices, ale je distribuovaný spoločnosťou Metromile, spustením poistenia automobilu so sídlom v San Franciscu, ktorá rozdáva bezplatný mobilný počítačový kľúč OBD-II s cieľom účtovať zákazníkom iba kilometre. riadený.

Vedci UCSD upozornili spoločnosť Metromile na zraniteľnosť hardvérového kľúča v júni a spoločnosť uviedla, že bezdrôtovo poslala bezpečnostnú opravu do zariadení. „Berli sme to veľmi vážne, len čo sme to zistili, “ povedal generálny riaditeľ spoločnosti Metromile Dan Preston pre Wired .

Aj napriek tomu, že spoločnosť Metromile rozposlala svoju bezpečnostnú opravu, boli viditeľné a stále hackerské tisíce hardvérových kľúčov, najmä preto, že ich používala španielska spoločnosť na správu flotily Coordina. Vo vyhlásení materskej spoločnosti TomTom Telematics Coordina uviedla, že sa zaoberala útokom vedcov a zistila, že sa týka iba staršej verzie hardvérových kľúčov, ktoré spoločnosť používa. V súčasnosti prebieha výmena „obmedzeného počtu“ týchto zariadení.

Spoločnosť tiež poznamenala, že telefónne číslo priradené k SIM kartám v jej zariadeniach nie je verejné a nedá sa s ním spojiť prostredníctvom textovej správy, ako pri útoku vedcov UCSD. Vedci však tvrdili, že aj keď nepoznajú telefónne číslo na karte SIM, sú nástrahy náchylné na útoky hrubou silou zaslaním prívesku textových správ.

Zatiaľ čo nedávne hackovanie výrobných automobilov trvalo mesiace na vykonanie diaľkového alebo vyžadovaného fyzického prístupu k vozidlu, bezpečnostné zraniteľnosti donglov OBD-II pripojených k cloudu sú známe už niekoľko mesiacov a zdá sa, že je oveľa ľahšie hackovať. A problém nie je obmedzený na produkty mobilných zariadení. V januári bol výskumný pracovník v oblasti jadrovej bezpečnosti Corey Thuen schopný prelomiť zariadenie Progressive Snapshot, zatiaľ čo vedci z firmy Cyber-Security Argus našli bezpečnostné chyby so zariadením Zubie OBD-II.

Vedci poznamenali, že prípadné hacky sa neobmedzujú iba na Corvette, ktoré sa použili pri ich testoch, a že by mohli unášať riadenie alebo brzdy takmer akéhokoľvek moderného vozidla, keď je do jeho palubnej dosky zapojený hardvérový hardvérový kľúč. „Nie je to zraniteľné iba toto auto, “ povedal výskumník UCSD Karl Koscher.

Rovnako ako v prípade pripojených automobilov od výrobcov automobilov, ešte nebol zdokumentovaný škodlivý hack vozidla s dongle OBD-II. Vedci sa však domnievajú, že táto hrozba je skutočná, a poznamenávajú, že na rozdiel od konektivity vo výrobných automobiloch neexistuje žiadny vládny dohľad nad trhom s náhradnými dielmi.

„Máme ich veľa, ktoré už sú na trhu, “ dodal Savage. „Vzhľadom na to, že sme videli úplné diaľkové zneužitie a tieto veci nie sú nijako regulované a ich používanie sa zvyšuje… myslím si, že je spravodlivé posúdenie, že inde budú problémy.“

„Premýšľajte dvakrát o tom, čo pripájate do svojho auta, “ varoval Koscher. „Je ťažké, aby bežný spotrebiteľ vedel, že jeho zariadenie je dôveryhodné alebo nie, ale je to niečo, na čo by sa mali na chvíľu zamyslieť. Vystavuje ma to väčšiemu riziku?“

Je to otázka, ktorú zákazníci požadujú už roky, a vodiči, ktorí chcú pripojiť svoje vozidlo k cloudu pomocou kľúča OBD-II, sa teraz budú musieť pýtať.