Следващата граница в хакерството на автомобили | дог новодошъл

Наскоро хакерството на автомобили направи много заглавия, въпреки че имаше само един документиран инцидент (който беше вътрешна работа преди пет години).

По-новите хакове на автомобили бяха извършени не от престъпници, а от изследователи по ИТ сигурност, които през последните няколко седмици показаха как да получат достъп до критичните контроли на джипа, докато се търкаляше по магистралата, заложиха на дистанционното приложение OnStar на GM за отваряне на вратите на автомобила и дистанционно стартирайте двигателя и изключете двигателя на Tesla Model S. Това хакерско действие постави свързаните усилия на автомобилите на автомобила в светлината на прожекторите и ги превърна в цел на избрани служители и съдебни дела.

Сега вниманието се насочи към свързани автомобилни устройства, които се включват в бордовия диагностичен порт II на превозното средство, известен още като OBD-II ключове. Устройствата съществуват от няколко години и позволяват на собствениците на превозни средства, произведени след 1996 г. с ODB-II порт, да добавят свързаност. Те се предлагат от компании, вариращи от големи автомобилни застрахователи до десетина или толкова стартиращи за всичко - от наблюдение на стилове на шофиране и икономия на гориво до проследяване на тийнейджърите, докато те са зад волана.

Изрязване на спирачките на Corvette

Преди конференцията по сигурността тази седмица, изследователи от Калифорнийския университет в Сан Диего (UCSD) разкриха как те бяха в състояние да хакнат безжично в OBD-II донгъл, включен в Corvette с късен модел. Те изпратиха SMS съобщения до устройство, което включи чистачките на предното стъкло на колата и намали спирачките. Докато изследователите отбелязват, че хакването на спирачките може да се извършва само при ниски скорости поради начина, по който е проектирано превозното средство, те добавиха, че атаката лесно може да бъде адаптирана към почти всяко съвременно превозно средство, за да поеме критични компоненти като управление или трансмисия.

"Ние придобихме някои от тях, проектирахме ги обратно и по пътя установихме, че те имат цял ​​куп недостатъци в сигурността", казва Стефан Савидж, професор по компютърна сигурност в UCSD, който ръководи проекта. Донгите "предоставят множество начини за дистанционно управление… почти всичко на превозното средство, към което са били свързани", добави той.

Хакерският OBD-II ключ е направен от френската компания Mobile Devices, но се разпространява от Metromile, стартиране на автомобилна застраховка, базирана в Сан Франциско, която раздава безплатен клетъчен OBD-II ключ за зареждане с цел зареждане на клиентите само за километри задвижван.

Изследователите на UCSD алармираха Metromile за уязвимостта на dongle през юни и компанията заяви, че безжично изпраща защитен кръпка към устройствата. "Ние взехме това много сериозно, веднага щом разбрахме", каза изпълнителният директор на Metromile Дан Престън пред Wired .

И все пак, дори след като Metromile изпрати своята лепенка за сигурност, хиляди донгли бяха видими и все още хакерски, до голяма степен защото бяха използвани от испанската компания за управление на флота Coordina. В изявление на компанията майка TomTom Telematics, Координа каза, че е разгледала атаката на изследователите и е открила, че се отнася само за по-стара версия на донглите, които компанията използва. Вече е в процес на подмяна на „ограничен брой“ от тези устройства.

Компанията също така отбеляза, че телефонният номер, присвоен на SIM картите в устройствата му, не е публичен и не може да се свърже с тях чрез текстово съобщение, както при атаката на изследователите от UCSD. Но изследователите контрираха, че дори и да не знаят телефонния номер на СИМ-картата, донглите са податливи на груби атаки, като изпращат бараж от текстови съобщения.

Въпреки че последните хакове на производствените автомобили отнеха месеци, за да се извърши дистанционен или необходим физически достъп до превозното средство, уязвимостите на сигурността на свързаните с облак OBD-II ключове са известни от няколко месеца и изглежда много по-лесно да се хакнат. И проблемът не е ограничен до продуктите за мобилни устройства. През януари изследователят по сигурността Corey Thuen успя да хакне устройството Snapshot на Progressive, докато изследователите от фирмата за киберсигурност Argus откриха пропуски в сигурността с устройството Zubie OBD-II.

Изследователите отбелязаха, че потенциалните хакове не се ограничават до Corvette, използван в техните тестове, и че те биха могли да отвлекат кормилното управление или спирачките на почти всяко съвременно превозно средство с включен в таблото си мобилен уред. "Не само този автомобил е уязвим", казва изследователят на UCSD Карл Кошер.

Както при свързаните автомобили от автомобилни производители, все още няма документирано злонамерено хакване на превозно средство с OBD-II ключ. Но изследователите смятат, че заплахата е реална и отбелязват, че за разлика от свързаността в автомобилите за производство, няма правителствен надзор за устройствата на пазара.

"Имаме цял куп от тези, които вече са на пазара", добави Савидж. "Като се има предвид, че сме виждали пълен отдалечен експлоатация и тези неща не са регулирани по никакъв начин и използването им нараства… Мисля, че е справедлива оценка, че ще има проблеми на друго място."

„Помислете два пъти какво включвате в колата си“, предупреди Кошер. "Трудно е за редовния потребител да разбере, че устройството им е надеждно или не, но това е нещо, което трябва да мисля за момент. Това излага ли ме на повече риск?"

Това е въпрос, свързан с потребителите, който си задават от години и шофьорите, които искат да свържат колата си към облака чрез OBD-II ключ, ще трябва да зададат и въпроса.