Следующая граница в области взлома автомобилей | Дуг Ньюкомб

В последнее время хакерство было в заголовках газет, хотя был зафиксирован только один задокументированный инцидент (который был внутренней работой пять лет назад).

Более поздние взломы автомобилей были совершены не преступниками, а исследователями ИТ-безопасности, которые за последние несколько недель показали, как получить доступ к критически важным элементам управления джипа, когда он катится по шоссе, - приложение удаленного управления OnStar от GM, открывающее двери автомобиля. и дистанционно запустить двигатель, и выключить двигатель Tesla Model S. Это хакерское действие поместило связанные с автомобилем усилия автомобилей в центр внимания и сделало их мишенью для избранных должностных лиц и судебных процессов.

Теперь внимание обратилось на дополнительные автомобильные устройства, которые подключаются к бортовому диагностическому порту автомобиля II, также известному как адаптеры OBD-II. Устройства существуют уже несколько лет и позволяют владельцам автомобилей, выпущенных после 1996 года с портом ODB-II, добавить возможность подключения. Они предлагаются компаниями, начиная от крупных автостраховщиков и заканчивая дюжиной стартапов для всего: от мониторинга стиля вождения и экономии топлива до отслеживания подростков, пока они за рулем.

Резка Корвета Тормоза

В преддверии конференции по безопасности на этой неделе исследователи из Калифорнийского университета в Сан-Диего (UCSD) рассказали о том, как они могли без труда взломать ключ OBD-II, подключенный к Corvette последней модели. Они отправляли SMS-сообщения на устройство, которое включало дворники автомобиля и отключало тормоза. В то время как исследователи отметили, что взлом тормозов может быть осуществлен только на низких скоростях из-за конструкции автомобиля, они добавили, что атака может быть легко адаптирована практически к любому современному транспортному средству, чтобы захватить важные компоненты, такие как рулевое управление или трансмиссия.

«Мы приобрели некоторые из них, перепроектировали их и обнаружили, что у них была целая куча недостатков безопасности», - сказал Стефан Сэвидж, профессор компьютерной безопасности UCSD, который возглавлял проект. Ключи «предоставляют несколько способов удаленно… контролировать практически все на транспортном средстве, к которому они подключены», добавил он.

Взломанный ключ OBD-II был изготовлен французской компанией Mobile Devices, но распространяется Metromile, стартапом по страхованию автомобилей в Сан-Франциско, который раздает бесплатный ключ OBD-II, подключенный к сотовой сети, чтобы взимать плату с клиентов только за мили. привод.

Исследователи UCSD предупредили Metromile об уязвимости ключа в июне, и компания заявила, что беспроводным способом отправила исправление безопасности на устройства. «Мы восприняли это очень серьезно, как только узнали, - сказал Wired генеральный директор Metromile Дэн Престон.

Тем не менее, даже после того, как Metromile разослал свое исправление безопасности, тысячи ключей были видны и все еще были взломаны, главным образом потому, что они использовались испанской компанией по управлению флотом Coordina. В заявлении материнской компании TomTom Telematics Coordina заявила, что она изучила атаку исследователей и обнаружила, что она применима только к более старой версии ключей, которые использует компания. Сейчас идет процесс замены «ограниченного количества» этих устройств.

Компания также отметила, что телефонный номер, присвоенный SIM-картам в ее устройствах, не является общедоступным и не может быть установлен с помощью текстовых сообщений, как при атаке исследователей UCSD. Но исследователи возразили, что даже не зная номер телефона SIM-карты, ключи подвержены атакам грубой силы, отправляя шквал текстовых сообщений.

Несмотря на то, что недавним взломам серийных автомобилей потребовались месяцы для выполнения удаленного или физического доступа к транспортному средству, уязвимости в безопасности подключенных к облаку ключей OBD-II известны уже несколько месяцев, и, похоже, их гораздо проще взломать. И проблема не ограничивается продуктами для мобильных устройств. В январе исследователь в области безопасности Кори Туен смог взломать устройство Snapshot Progressive, в то время как исследователи из компании по кибербезопасности Argus обнаружили недостатки безопасности с устройством Zubie OBD-II.

Исследователи отметили, что потенциальные взломы не ограничиваются Corvette, использованным в их тестах, и что они могут предположительно угнать рулевое управление или тормоза практически любого современного транспортного средства с ключом Mobile Devices, подключенным к его приборной панели. «Не только этот автомобиль уязвим», - сказал исследователь UCSD Карл Кощер.

Как и в случае с подключенными автомобилями от автопроизводителей, еще не было задокументированного злонамеренного взлома автомобиля с ключом OBD-II. Но исследователи полагают, что угроза реальна, и отмечают, что, в отличие от подключения в серийных автомобилях, нет никакого государственного надзора за устройствами вторичного рынка.

«У нас есть целая куча таких, которые уже есть на рынке», - добавил Сэвидж. «Учитывая, что мы видели полный удаленный эксплойт, и эти вещи никак не регулируются, и их использование растет… Я думаю, что это справедливая оценка, что в другом месте будут проблемы».

«Подумайте дважды о том, что вы подключаете к своей машине», - предупредил Кошер. «Для обычного потребителя трудно понять, заслуживает ли его устройство доверия или нет, но об этом следует задуматься. Это подвергает меня большему риску?»

Это вопрос, к которому потребители подключались годами, и теперь придется задавать и водителям, которые хотят подключить свой автомобиль к облаку с помощью ключа OBD-II.