Autóját valószínűbb, hogy szerelője feltörje, mint egy terrorista A Lego Mechanic kedvesnek és ártatlannak tűnhet, de mit rejteget ez a mosoly? Flickr / Jeff Eaton, CC BY-NC-SA

Ha az autóhackelésről van szó, akkor jobban kell aggódnia a ravasz kereskedőkért, mint a bűnözői szándékú egyszeri hackerekért.

Hollywood azt hinné tőlünk, hogy az autóink rendkívül sebezhetőek a hackerekkel szemben. Egy hacker távolról bejelentkezik a bemutatóteremben kiállított autó fedélzeti számítógépébe, aminek következtében az autó az üvegen keresztül kirobbant az utcára - éppen idő múlásával megakadályozta az autó üldözését.

Autóhackelés a hollywoodi kasszasikerben, a dühöngők sorsa.

A kutatóknak pedig sikere volt egy ilyen forgatókönyv megismétlésében. 2015-ben a világ minden tájáról felkerültek a címek biztonsági kutatók feltörhettek egy Jeep Cherokee-t. Távolról irányítottak mindent, az ablaktörlőktől és a légkondicionálótól kezdve az autó gyorsulásig. Végül lezuhanták az autót a közeli töltésen, biztonságosan befejezve kísérletüket.

belső feliratkozási grafika

Ha elhinnéd mindazt, amit azóta írtak, azt hinnéd, mindannyian balesetekben közlekedünk, amelyek várják a történést. Egy pillanatra bármely bűnöző feltörheti járművét, megragadhatja az irányítást és mindenkit megölhet.

Bár ez a fenyegetés létezhet, a való világban még soha nem történt meg - és jelentősen túl van jelentve.

A gépkocsikat ma már számítógépek irányítják

A mai gépjárművek az összekapcsolt elektromos alrendszerek bonyolult rendszere, ahol a hagyományos mechanikus csatlakozásokat elektromos társakra cserélték.

Vegyük például a gázpedált. Ezt az egyszerű eszközt egy fizikai kábellel szokták vezérelni, amely a motor szelepéhez csatlakozik. Ma vezetés-vezetékes rendszer vezérli.

Huzal-vezetékes rendszer alatt a fojtószelep helyzetét számítógép vezérli. Ez a számítógép jeleket fogad a gázpedálról, és ennek megfelelően utasítja a fojtószelephez csatlakoztatott kis motort. A mérnöki előnyök egy részét egy tipikus fogyasztó nem veszi észre, de ez a rendszer lehetővé teszi a motor zökkenőmentes működését.

A 2002-es Toyota járműveknél véletlen gyorsulás oka volt a vezetékes vezetékes rendszer meghibásodása. A hiba azt eredményezte legalább egy halálos balesetet, 2017-ben bíróságon kívül rendeznek. Egy elemzés Az Egyesült Államok Országos Közúti Közlekedésbiztonsági Igazgatósága megbízásából nem zárható ki a szoftverhiba, de jelentős mechanikai hibákat talált a pedálokban.

Ezek végül minőségi hibák voltak, nem feltört autók. De érdekes forgatókönyvet vezet be. Mi lenne, ha valaki az ön tudta nélkül programozhatná a gyorsítót?

Hackelje a számítógépet, és irányíthatja az autót

A mai modern, összekapcsolt jármű gerince egy Controller Area Network (CAN bus) nevű protokoll. A hálózat egy master vezérlőegység elvére épül, több slave eszközzel.

Az autónkban működő rabszolgasorok bármilyenek lehetnek, az ajtód belső oldalán található kapcsolótól kezdve a tetővilágításig, sőt a kormánykerékig is. Ezek az eszközök lehetővé teszik a bemeneteket a master egységről. Például a fő egység fogadhat egy jelet egy ajtókapcsolóról, és ennek alapján jelet küldhet a tetővilágításnak annak bekapcsolására.

A probléma az, hogy ha fizikai hozzáférése van a hálózathoz, akkor jeleket küldhet és fogadhat a csatlakoztatott eszközökre.

Noha fizikai hozzáférésre van szüksége a hálózat megszakításához, ez könnyen elérhető a fedélzeti diagnosztikai porton keresztül, amelyet a kormánykeréke elől elrejtett. Az autókhoz hozzáadott eszközök, mint például a Bluetooth, a mobil és a Wi-Fi, szintén hozzáférést biztosíthatnak, de nem olyan egyszerűen, mint egyszerűen csatlakoztatni.

A Bluetooth például csak korlátozott hatótávolsággal rendelkezik, és ahhoz, hogy Wi-Fi-n vagy mobilon keresztül hozzáférhessen egy autóhoz, továbbra is meg kell adnia a jármű IP-címét és a Wi-Fi-jelszóhoz való hozzáférést. A fent említett Jeep hacket engedélyezte gyenge alapértelmezett jelszavakat választott a gyártó.

Írja be a rosszindulatú szerelőt

A távoli autós feltörések nem különösebben egyszerűek, de ez nem jelenti azt, hogy rendben van, ha hamis biztonságérzetbe csábítanak.

A Gonosz szobalány támadás a biztonsági elemző által kitalált kifejezés Joanna Rutkowska. Ez egy egyszerű támadás a világon a szállodai szobákban bizonytalanul hagyott eszközök elterjedtsége miatt.

A támadás alapfeltétele a következő:

  1. a cél egy vagy több eszközzel távollétben vagy üzleti úton van
  2. ezeket az eszközöket felügyelet nélkül hagyják a cél szállodai szobájában
  3. a cél azt feltételezi, hogy az eszközök biztonságosak, mivel csak nekik van kulcsuk a szobába, de akkor a szobalány bejön
  4. amíg a cél nincs távol, a szobalány tesz valamit az eszközzel, például rosszindulatú programokat telepít, vagy akár fizikailag is megnyitja az eszközt
  5. a célnak fogalma sincs, és megsértik.

Ha ezt a támadást a CAN busz protokoll összefüggésében vizsgáljuk, akkor gyorsan nyilvánvalóvá válik, hogy a protokoll a leggyengébb, amikor fizikai hozzáférést biztosítanak. Ilyen hozzáférést biztosítanak a megbízható feleknek, amikor szervizbe vesszük járműveinket, amikor ez nem látható. A szerelő a legvalószínűbb „szobalány”.

A jó karbantartási rutin részeként szerelője csatlakoztat egy eszközt a fedélzeti diagnosztikai (ODB) porthoz, hogy megbizonyosodjon arról, hogy a járműben nincsenek hibakeresési vagy diagnosztikai kódok, amelyeket meg kell oldani.

De mi történne, ha egy szerelőnek valami extra üzletre lenne szüksége? Talán azt akarták, hogy gyakrabban térjen vissza szolgálatra. Be tudják-e programozni az elektronikus fékérzékelő korai működését a vezérlő algoritmus? Igen, és ez alacsonyabb élettartamot eredményezne a fékbetéteken.

Esetleg módosíthatnák a gépkocsiban lévő sok számítógép egyikét úgy, hogy az több kilométert naplózzon, mint amennyit ténylegesen megtesznek? Vagy ha el akarják rejteni azt a tényt, hogy az ön Ferrariját pörögni vitték, akkor beprogramozhatták a számítógépet tekerje vissza a kilométer-számlálót. Sokkal könnyebb, mint a manuális módszer, amelynek olyan rossz vége lett az 1986-os Ferris Bueller szabadnapos filmjében.

 

Mindezek életképes csapkodások - és a szerelője most megteheti.

Az ellenőrzés és az átláthatóság esete

Ez nem új probléma. Nem különbözik attól, hogy egy használt autókereskedő fúróval futtatja a sebességet, hogy alacsonyabb futásteljesítményt mutasson. Az új technológiák csak azt jelentik, hogy ugyanazokat a trükköket különböző módon lehetne megvalósítani.

Sajnos keveset lehet tenni annak megakadályozására, hogy egy rossz szerelő ilyeneket csináljon.

A biztonsági kutatók jelenleg a CAN busz protokoll mögött rejlő biztonság javítására koncentrálnak. Valószínű oka annak, hogy a mai napig nem jelentettek jelentős eseményt, az az, hogy a CAN busz a homályos megvalósításra támaszkodik a biztonság érdekében.

Megoldás lehet az ellenőrzés és az átláthatóság. A kutatók által javasolt rendszer a Blackhatnál, magában foglal egy ellenőrzési naplót, amely segítséget nyújthat a mindennapi embereknek a járművében bekövetkezett jogosulatlan változtatások kockázatának felmérésében, és javíthatja a rendszer robusztus működését.

Addig csak megbízható szerelőt kell használnunk.A beszélgetés

A szerzőről

Richard Matthews, Vállalkozói, Kereskedelmi és Innovációs Központ oktatója PhD jelölt a képi kriminalisztikában és a kiberügyben | Tanácsos, University of Adelaide

Ezt a cikket újra kiadják A beszélgetés Creative Commons licenc alatt. Olvassa el a eredeti cikk.

at InnerSelf Market és Amazon