Automobilové hackování - Automotive hacking

Automobilové hackování je využívání zranitelností v rámci softwaru, hardwaru a komunikačních systémů automobilů .

Přehled

Moderní automobily obsahují stovky palubních počítačů zpracovávajících vše od ovládání vozidel až po informační a zábavní systém. Tyto počítače, nazývané elektronické řídicí jednotky (ECU), spolu navzájem komunikují prostřednictvím několika sítí a komunikačních protokolů včetně sítě Controller Area Network (CAN) pro komunikaci součástí vozidla, jako je spojení mezi motorem a ovládáním brzd; Local Interconnect Network (LIN) pro levnější komunikaci součástí vozidla, například mezi dveřními zámky a vnitřními světly; Media Oriented Systems Transport (MOST) pro systémy infotainmentu, jako jsou moderní dotykové obrazovky a telematická připojení; a FlexRay pro vysokorychlostní komunikaci součástí vozidel, jako je aktivní odpružení a synchronizace dat aktivního tempomatu.

Do automobilových architektur jsou integrovány také další spotřebitelské komunikační systémy, včetně Bluetooth pro bezdrátová připojení zařízení , 4G internetové hotspoty a Wi-Fi ve vozidle .

Integrace těchto různých komunikačních a softwarových systémů ponechává automobily náchylné k útoku. Výzkumníci v oblasti bezpečnosti začali předvádět množství potenciálních vektorů útoků v moderních vozidlech a díky některým skutečným explozím výrobci vydali stažení vozidel a aktualizace softwaru pro mobilní aplikace.

Výrobci, jako například John Deere , používali počítačové systémy a Digital Rights Management, aby zabránili opravám ze strany vlastníků vozidel nebo třetích stran nebo používání náhradních dílů. Tato omezení podnítila úsilí o obejití těchto systémů a zvýšený zájem o opatření, jako je zákon o právu vlastníků motorových vozidel na opravu .

Výzkum

V roce 2010 bezpečnostní výzkumníci předvedli, jak by hacknutím ECU mohli vytvářet fyzické efekty a narušovat ovládání systému. Vědci potřebovali fyzický přístup k ECU a dokázali získat plnou kontrolu nad jakýmkoli bezpečnostním nebo automobilovým systémem, včetně deaktivace brzd a zastavení motoru.

V navazujícím výzkumném dokumentu publikovaném v roce 2011 vědci prokázali, že fyzický přístup není ani nutný. Vědci ukázali, že „dálkové využívání je možné prostřednictvím ... mechanických nástrojů, přehrávačů CD, Bluetooth, mobilních rádií ... a bezdrátových komunikačních kanálů umožňuje dálkové ovládání vozidla, sledování polohy, exfiltraci zvuku v kabině a krádeže“. To znamená, že hacker mohl získat přístup k životně důležitým řídicím systémům vozidla prostřednictvím téměř čehokoli, co je v rozhraní se systémy automobilu.

Nedávné exploity

2015 Fiat Chrysler UConnect Hack

UConnect je funkce Fiat Chrysler připojená k internetu, která majitelům umožňuje ovládat infotainment/navigační systém vozidla, synchronizovat média a telefonovat. Integruje se dokonce s volitelným integrovaným WiFi.

Citlivost systému UConnect společnosti Fiat Chrysler, která je k dispozici u více než 1,4 milionu automobilů, však umožňuje hackerům skenovat vozidla se systémem, připojit a vložit škodlivý kód a nakonec ovládnout důležité ovládací prvky vozidla, jako je řízení a brzdy.

2015 Tesla Model S Hack

V roce 2015 na hackerské konferenci DEF CON Marc Rogers a Kevin Mahaffey předvedli, jak by bylo možné využít řetězec exploitů k úplné kontrole modelu S. Marc Rogers a Kevin Mahaffey identifikovali několik vzdálených a místních zranitelností, které by mohly být použity jako vstupní body. Ukázali, že po exploataci lze vozidlo dálkově ovládat pomocí iPhonu. Nakonec také předvedli, že je možné nainstalovat zadní vrátka, která by umožňovala trvalý přístup a ovládání vozidla podobným způsobem k využití technik, které jsou obvykle spojeny s tradičními počítačovými systémy. Marc Rogers a Kevin Mahaffey spolupracovali se společností Tesla, Inc. na vyřešení problémů před zveřejněním. Před představením bylo oznámeno, že byla přes noc opravena celá globální flotila vozů Model S, první proaktivní hromadná aktualizace zabezpečení zranitelných vozidel Over The Air (OTA).

Aplikace General Motors OnStar RemoteLink

Aplikace OnStar RemoteLink umožňuje uživatelům využívat možnosti OnStar ze smartphonů Android nebo iOS . Aplikace RemoteLink dokáže lokalizovat, zamknout a odemknout a dokonce nastartovat vaše vozidlo.

Vada v General Motors OnStar RemoteLink app ", i když není tak extrémní, jak Uconnect, umožňuje útočníkům vydávat se za oběť v očích RemoteLink app. To znamená, že hackeři mají přístup ke všem funkcím aplikace RemoteLink, které jsou oběti k dispozici, včetně lokalizace, zamčení a odemčení a spuštění motoru.

Bezklíčový vstup

Bezpečnostní výzkumník Samy Kamkar předvedl zařízení, které zachycuje signály z klíčenek bez klíčů a které by útočníkovi umožnilo odemknout dveře a nastartovat motor automobilu.

Reference