Наступний кордон у злому автомобілів | дог новоприбулий

Останнім часом залом автомобілів зробив багато заголовків, хоча зафіксований лише один інцидент (який був внутрішнім завданням п'ять років тому).

Найновіші взломи автомобілів були здійснені не злочинцями, а дослідниками ІТ-безпеки, які протягом останніх кількох тижнів показали, як отримати доступ до критичних елементів управління джипа, поки він проїжджав по шосе, ігровий дистанційний додаток OnStar GM, щоб відкрити двері автомобіля та віддалено запустити двигун та вимкнути двигун Tesla Model S. Ця хакерська дія поставила пов'язані зусилля автовиробників у центрі уваги та зробила їх об'єктом обраних чиновників та судових процесів.

Тепер увагу звернуто на автомобільні пристрої, що підключаються до продажу, що вбудовуються в бортовий діагностичний порт II автомобіля, також відомий як ключі OBD-II. Пристрої існують вже кілька років, і дозволяють власникам транспортних засобів, виготовлених після 1996 року, з порту ODB-II додавати можливість зв'язку. Їх пропонують компанії, починаючи з великих автостраховиків до десятка стартових підприємств, починаючи від всього, від моніторингу стилів водіння та економії палива до відстеження підлітків, поки вони за кермом.

Відключення гальм Корвета

Напередодні конференції з безпеки цього тижня дослідники Каліфорнійського університету в Сан-Дієго (UCSD) виявили, як їм вдалося бездротовим чином зламати в OBD-II ключ, включений у корвет пізньої моделі. Вони надіслали SMS-повідомлення на пристрій, який увімкнув склоочисники автомобіля і відключив гальмо. У той час як дослідники відзначали, що злом гальма може здійснюватися лише на низьких швидкостях завдяки способу проектування транспортного засобу, вони додали, що атака легко може бути адаптована майже до будь-якого сучасного транспортного засобу, щоб перейняти критичні компоненти, такі як рульове управління або трансмісія.

"Ми придбали деякі з них, інженерно розробили їх, і попутно виявили, що у них є ціла купа недоліків у безпеці", - сказав Стефан Савадж, професор комп'ютерної безпеки UCSD, який керував проектом. Ключі "надають кілька способів дистанційно… контролювати майже все на транспортному засобі, до якого вони були підключені", - додав він.

Зламаний ключ OBD-II був виготовлений французькою компанією Mobile Devices, але його розповсюджує Metromile, запуск страхового автомобіля на базі Сан-Франциско, який надає безкоштовний підключений до стільникового зв'язку OBD-II ключ, щоб стягувати з клієнтів лише милі ведений.

Дослідники UCSD попередили Metromile про вразливість dongle у червні, і компанія заявила, що бездротово надсилає патчі безпеки на пристрої. "Ми поставилися до цього дуже серйозно, як тільки з’ясували", - сказав Дер Престон, директор компанії Metromile.

Тим не менш, навіть після того, як Metromile розіслала патч безпеки, тисячі ключів були помітні і все ще зламані, багато в чому тому, що їх використовувала іспанська компанія з управління флотом Coordina. У заяві материнської компанії TomTom Telematics Коордіна зазначила, що вона вивчила атаку дослідників і виявила, що вона стосується лише старої версії ключів, яку використовує компанія. Зараз це відбувається заміна "обмеженої кількості" цих пристроїв.

Компанія також зазначила, що номер телефону, присвоєний SIM-карткам на своїх пристроях, не є загальнодоступним, і з ним не можна зв’язатися за допомогою текстових повідомлень, як це стосується нападу дослідників UCSD. Але дослідники протидіяли, що навіть не знаючи номер телефону SIM-картки, донгли сприйнятливі до грубої атаки, надсилаючи шквал текстових повідомлень.

Незважаючи на те, що останнім злому виробничих автомобілів потрібні місяці, щоб здійснити віддалений або необхідний фізичний доступ до транспортного засобу, вразливості безпеки хмарових ключів OBD-II, пов'язані з хмарою, відомі вже кілька місяців і, здається, набагато простіше їх зламати. І проблема не обмежується продуктами мобільних пристроїв. У січні досліднику безпеки Corey Thuen вдалося зламати пристрій Snapshot Progressive, тоді як дослідники фірми з кібербезпеки Argus виявили недоліки в безпеці пристрою Zubie OBD-II.

Дослідники відзначили, що потенційні хаки не обмежуються Корветом, який використовується в їхніх тестах, і що вони могли б викрасти рульове управління або гальма практично будь-якого сучасного транспортного засобу з підключеним до нього тиском мобільних пристроїв. "Не тільки ця машина вразлива", - сказав дослідник UCSD Карл Кошер.

Як і з підключеними автомобілями автовиробників, досі не було зафіксовано зловмисного злому автомобіля з OBD-II. Але дослідники вважають, що загроза реальна, і зазначають, що, на відміну від підключення у виробничих автомобілях, урядовий нагляд за пристроями післяпродажного продажу не існує.

"У нас є ціла купа таких, які вже є на ринку", - додав Сайдже. "З огляду на те, що ми бачили повний віддалений експлуатування, і ці речі жодним чином не регулюються, і їх використання зростає … Я думаю, що це справедлива оцінка, що в інших місцях будуть проблеми".

"Подумайте двічі, що ви підключаєте до свого автомобіля", - попередив Кошер. "Постійному споживачеві важко знати, що його пристрій заслуговує на довіру чи ні, але це те, про що варто замислитись. Це піддається мені більшому ризику?"

Це питання, яке споживачі задають роками, і водіям, які хочуть підключити свій автомобіль до хмари через OBD-II ключ, тепер доведеться також запитати.