Zubie — это небольшая коробка, которая вставляется в порт бортовой диагностики (ODBII), который можно найти в большинстве современных автомобилей. Он позволяет пользователям узнать, насколько хорошо они управляют автомобилем, и предлагает советы по увеличению пробега за счет разумного и экономичного вождения. И до недавнего времени у Зуби была серьезная ошибка в безопасности, которая могла сделать пользователей уязвимыми для того, чтобы их автомобиль был угнан удаленно.
Дыра — обнаруженная выпускниками блока 8200, элитной группы кибербезопасности Сил обороны Израиля, — потенциально могла видеть, что злоумышленники удаленно вмешиваются в торможение, рулевое управление и двигатель.
Zubie подключается к удаленному серверу через соединение GPRS, которое используется для отправки собранных данных на центральный сервер, а также для получения обновлений безопасности.
Исследователи обнаружили, что устройство совершает один из главных грехов сетевой безопасности и не связывается с домашним сервером через зашифрованное соединение. В результате они смогли подделать центральный сервер Zubie и отправить на устройство некоторые специально созданные вредоносные программы.
Более подробная информация об атаке приведена ниже, и вам будет приятно узнать, что с тех пор эта проблема была исправлена. Это, однако, поднимает интересный вопрос. Насколько безопасны наши автомобили?
Отделение факта от вымысла
Для многих вождение не роскошь. Это необходимость
И это опасная необходимость. Большинство людей слишком хорошо знакомы с рисками, связанными с тем, чтобы сесть за руль. Автокатастрофы — одни из самых крупных убийц в мире: 1,24 миллиона человек погибли на дороге только в 2010 году.
Но смертность на дорогах снижается, и это в значительной степени связано с ростом проникновения сложных технологий безопасности дорожного движения. Их слишком много для всестороннего перечисления, но, возможно, наиболее распространенным примером является OnStar , доступный в США, Канаде и Китае.
Технология, доступная исключительно в автомобилях GM, а также в других транспортных средствах компаний, которые выбрали лицензию на технологию, контролирует состояние вашего автомобиля. Он может предоставить пошаговые инструкции и автоматически оказать помощь, если вы окажетесь в какой-либо аварии.
Почти шесть миллионов человек подписываются на OnStar. Бесчисленное множество других используют телематическую систему, которая позволяет страховщикам отслеживать, насколько хорошо управляются автомобили, и подготавливать страховые пакеты для поощрения разумных водителей. Джастин Деннис недавно рассмотрел нечто похожее под названием Metronome от Metromile. , который свободно доступен для жителей Вашингтона, Орегона, Калифорнии и Иллинойса. Между тем, многие автомобили, выпущенные после 1998 года, могут быть опрошены и отслежены через диагностический порт ODBII благодаря Android и приложения для смартфонов на iOS.
Как эти технологии достигли повсеместного распространения, так и осознают, что их можно взломать. Нигде больше это не проявляется так явно, как в нашей культурной психике.
Триллер 2008 года «Необследуемый» заметно показал автомобиль, оснащенный OnStar, который был «обмурован» антагонистом фильма, чтобы заманить кого-то в ловушку. В то время как в 2009 году голландская IT-компания InfoSupport запустила серию рекламных роликов, в которых вымышленный хакер по имени Макс Корнеллиз дистанционно взломал автомобильные системы, включая Porsche 911, используя только свой ноутбук.
Таким образом, с такой большой неопределенностью вокруг проблемы, важно знать, что можно сделать, и какие угрозы остаются в области научной фантастики.
Краткая история взлома автомобилей?
За пределами Голливуда исследователи безопасности совершили довольно страшные вещи с автомобилями.
В 2013 году Чарли Миллер и Крис Валасек продемонстрировали атаку, в которой они скомпрометировали Ford Escape и Toyota Prius и сумели взять под контроль тормозные и рулевые средства. Однако у этой атаки был один существенный недостаток, поскольку она зависела от подключения ноутбука к автомобилю. Это вызвало у исследователей безопасности любопытство и недоумение, возможно ли сделать то же самое, но без физической привязанности к машине.
На этот вопрос был окончательно дан ответ один год спустя, когда Миллер и Валасек провели еще более детальное исследование безопасности 24 различных моделей автомобилей. На этот раз они сосредоточились на способности атакующего провести удаленную атаку. Их обширное исследование дало отчет на 93 страницах, который был опубликован на Scribd, чтобы совпасть с их последующим докладом на конференции по безопасности Blackhat в Лас-Вегасе.
Предполагалось, что наши машины не так безопасны, как когда-то думали, у многих нет элементарной защиты от кибербезопасности. В отчаянном отчете подчеркивалось, что Cadillac Escalade, Jeep Cherokee и Infiniti Q50 наиболее уязвимы для удаленной атаки.
Когда мы смотрим на Infinity Q10 конкретно , мы видим некоторые серьезные провалы в безопасности.
Что делает Infiniti таким привлекательным как автомобиль, так это то, что делает его таким уязвимым. Как и многие высококлассные автомобили, выпущенные в последние годы, он обладает рядом технологических особенностей, призванных сделать процесс вождения более приятным. Они варьируются от разблокировки без ключа до беспроводного мониторинга давления в шинах и до приложения для смартфонов «персональный помощник», которое взаимодействует с автомобилем.
По словам Миллера и Власека, некоторые из этих технологических функций не изолированы, а напрямую связаны с системами, отвечающими за управление двигателем и торможение. Это оставляет открытой возможность для злоумышленника получить доступ к внутренней сети автомобиля, а затем использовать уязвимость, находящуюся в одной из основных систем, для сбоя или вмешательства в транспортное средство.
Такие вещи, как разблокировка без ключа и «личные помощники» быстро считаются необходимыми для водителей, но, как Чарли Миллер так отметил, «немного страшно, что они все могут разговаривать друг с другом».
Но мы все еще очень много в мире теоретического. Миллер и Власек продемонстрировали потенциальную возможность для атаки, но не фактическую атаку. Есть ли примеры того, как кому-то удалось вмешаться в компьютерные системы автомобиля?
Что ж, нет недостатка в атаках, направленных на разблокировку без ключа. Один из них даже был продемонстрирован ранее в этом году на конференции по безопасности Blackhat в Лас-Вегасе австралийским исследователем безопасности Сильвио Чезаре.
Используя готовые инструменты стоимостью всего 1000 долларов, он смог подделать сигнал от брелка, что позволило ему удаленно разблокировать автомобиль. Атака основана на том, что кто-то физически присутствует рядом с автомобилем, возможно, в течение нескольких часов, поскольку компьютер и радиоантенна передает попытки грубой силы приемника, встроенного в систему разблокировки автомобиля без ключа.
После того, как автомобиль был открыт, злоумышленник может попытаться угнать его или помочь себе без присмотра, оставленного водителем. Здесь есть большой потенциал для повреждения.
Есть ли защита?
Это зависит.
Уже есть некоторая форма защиты от уязвимости удаленного доступа, обнаруженной Чарли Миллером и Крисом Валасеком. За несколько месяцев, прошедших после их выступления в Blackhat, им удалось создать устройство, действующее как система обнаружения вторжений (IDS). Это не останавливает атаку, а скорее указывает водителю, когда атака может продолжаться. Это стоит около 150 долларов США по частям и требует небольшого количества знаний в области электроники.
Уязвимость Zubie немного сложнее. Хотя с тех пор дыра была исправлена, слабость заключалась не в машине, а скорее в стороннем устройстве, которое было к ней прикреплено. В то время как у автомобилей есть свои собственные архитектурные проблемы, кажется, что добавление дополнительных дополнений только увеличивает потенциальные возможности для атаки.
Возможно, единственный способ быть по- настоящему безопасным — это управлять старой машиной. Тот, которому не хватает очень сложных наворотов современных, высококлассных автомобилей, и чтобы не поддаваться желанию засунуть вещи в ваш порт ODBII. Там безопасность в простоте.
Безопасно ли управлять моей машиной?
Безопасность — это эволюционный процесс.
По мере того, как люди лучше понимают угрозы, окружающие систему, система развивается, чтобы защищаться от них. Но у автомобильного мира не было своего ShellShock или HeartBleed Я полагаю, что когда он столкнется с первой критической угрозой — это первый нулевой день, если хотите, — производители автомобилей ответят соответствующим образом и предпримут шаги, чтобы сделать безопасность транспортных средств более строгой.
Но что вы думаете? Это немного оптимистично? Вы беспокоитесь о том, что хакеры захватят вашу машину? Я хочу услышать об этом. Оставьте мне комментарий ниже.
Авторы фотографий: BangkokHappiness (Shutterstock) , ДмитрийМарута (ShutterStock) , Тедди Леунг / Shutterstock.com