Převzetí kontroly nad auty z dálky

Výzkumníci, kteří strávili poslední dva roky studiem zabezpečení počítačových systémů automobilů, odhalili, že mohou bezdrátově ovládat vozidla.





Napadená pomlčka: Výzkumníci již dříve prokázali, že mohou kromě jiných systémů převzít kontrolu nad displejem na palubní desce automobilu.

Výzkumníci byli schopni ovládat vše od brzd vozu přes jeho dveřní zámky až po jeho počítačové displeje na palubní desce přístupem k palubnímu počítači přes GM’s OnStar a Ford’s Sync, stejně jako přes Bluetooth připojení určená pro hands-free telefonní hovory. Svá zjištění tento týden prezentovali národním akademiím Výbor pro elektronické ovládání vozidel a nezamýšlené zrychlení , který byl shromážděn částečně v reakci na loňský skandál ohledně údajných problémů s počítačově řízenými brzdovými systémy v Toyotě Priuse.

Tým vč Tadayoshi Kohno , odborný asistent informatiky na Washingtonské univerzitě a Stefan Savage , profesor počítačových věd na Kalifornské univerzitě v San Diegu, již dříve prokázal, že mohou převzít kontrolu nad počítačovými systémy automobilu za předpokladu, že budou mít fyzický přístup k palubnímu diagnostickému portu vozidla – federálně nařízenému přístupovému bodu umístěnému pod palubní deska téměř ve všech moderních autech.

S novou prací výzkumníci systematicky analyzovali způsoby, jak se dostat k počítačovým systémům automobilu, aniž by měli fyzický přístup. Používali sériově vyráběný sedan z roku 2009 vybavený méně počítačovými systémy než mnoho špičkových vozů. U každého úspěšného útoku potvrdili, že mohou zcela ovládat všechny vnitřní počítačové systémy vozu.

Výzkumníci zaútočili na systém Bluetooth vozu, který řidiči umožňuje telefonovat bez použití rukou. Zjistili zranitelnost ve způsobu, jakým byl implementován systém Bluetooth, který jim umožnil spustit kód k převzetí kontroly nad vozem. K tomu vědci použili chytrý telefon již spárovaný s autem nebo našli způsob, jak nezákonně povolit nové připojení chytrého telefonu.

V dnešní době je mnoho vozů vybaveno mobilním připojením, které plní bezpečnostní funkce, jako je automatické přivolání pomoci, pokud má řidič nehodu. Vědci zjistili, že by mohli převzít kontrolu nad tímto systémem prolomením jeho autentizačního systému. Nejprve provedli asi 130 hovorů do auta, aby získali přístup, a poté nahráli kód pomocí 14sekundového zvuku. Výzkumníci také našli další způsoby, jak získat přístup, například prostřednictvím přehrávače médií v autě.

Byli jsme překvapeni, když jsme zjistili, že útočná plocha byla tak široká, říká Kohno s odkazem na širokou škálu způsobů, jakými byli výzkumníci schopni získat přístup k počítačovým systémům automobilu.

Tým také analyzoval možné scénáře útoku. Například ukázali, že hi-tech zloději aut dokážou vyhledávat požadované modely aut, identifikovat jejich umístění a odemknout je, to vše bez jakéhokoli násilného vstupu. Mohli by provádět zákeřné sledování, například přinutit auto, aby v pravidelných intervalech odesílalo svou polohu GPS. Mohli by také sabotovat auto, například deaktivací jeho brzd.

Neexistují žádné důkazy o tom, že by některý z těchto scénářů útoku použili zločinci, a pro spotřebitele existuje jen malé bezprostřední nebezpečí, říkají vědci. Jak Stefan, tak já se stále cítíme naprosto pohodlně při řízení našich vozů, říká Kohno.

To trvalo 10 výzkumníkům dva roky, než se to podařilo, dodává Savage. Není to něco, co bude dělat jeden chlap ve své garáži.

Možná je však načase, aby výrobci začali hledat způsoby, jak ochránit auta před útoky hackerů. Louis Lanzerotti , významný profesor výzkumu na katedře fyziky na Technologickém institutu v New Jersey a předseda Výboru pro elektronické ovládání vozidel a nezamýšlené zrychlení, říká, že vědci byli pozváni, aby na akci promluvili v rámci svého přezkumu elektronického ovládání vozidel, systémy a bezpečnost v celém odvětví. Skupina shromáždí informace, které shromáždí, aby mohla poskytnout doporučení Národní úřad pro bezpečnost silničního provozu o způsobech, jak zajistit, aby elektronické ovládání vozidla bylo bezpečné.

Útok na auta na dálku významně rozšiřuje hrozbu a výrazně zvyšuje dopad této a [výzkumné] předchozí práce, říká Aurélien Francillon , výzkumný pracovník ve skupině systémové bezpečnosti na ETH Zurich ve Švýcarsku, který také pracoval na zabezpečení automobilů. Nastal čas, aby výrobci automobilů, když se z nich stávají softwarové společnosti, brali zabezpečení softwaru velmi vážně a uplatňovali jak běžné osvědčené postupy při zpevňování softwaru, tak formální metody navrhování a ověřování. Ačkoli Francillon připouští, že to zvýší náklady na vývoj a konstrukci systémů pro automobily, věří, že další investice budou nutné, protože se na veřejnost dostane více softwarových útoků.

Někteří výrobci již pracují na lepším zabezpečení, poznamenává Francillon a probíhá několik evropských výzkumných projektů, jako např Vyhýbat se , kromě práce prováděné Centrem bezpečnosti automobilových vestavěných systémů.

Savage věří, že navzdory široké škále zranitelností, které výzkum zjistil, budou problémy vyřešeny. Tady můžeme vidět dobrý výsledek, říká.

skrýt