Удаленное взлом машины теперь стало реальностью | Дуг Ньюкомб

До сих пор демонстрации взлома автомобилей проводились только тогда, когда исследователи безопасности были встроены в электрическую систему автомобиля. В 2010 году был зафиксирован только один зарегистрированный случай удаленного взлома автомобиля, но это была внутренняя работа недовольного сотрудника автодилера, который замуровал более 100 автомобилей, воспользовавшись технологией, разработанной для дистанционного изъятия.

Но ранее на этой неделе два исследователя безопасности, которые сделали разоблачение уязвимостей подключенных автомобилей чем-то вроде крестового похода, показали драматическим и несколько опасным образом, как они смогли удаленно отключить критические системы Jeep Cherokee 2014 года, когда автомобиль находился на шоссе в Сент-Луисе., Чарли Миллер, исследователь по безопасности в Twitter, и Крис Валасек, директор по исследованиям в области безопасности транспортных средств в IOActive, два года назад сделали заголовки, показав, как они могут сигналить гудком, зажимать ремни безопасности, убивать тормоза и контролировать руль Ford Escape и Toyota Prius с заднего сиденья с использованием ноутбуков и физического подключения к транспортным средствам.

Их продолжение, опять же с писателем Энди Гринбергом за рулем, было направлено на то, чтобы напугать автомобильные компании и автовладельцев, доказав, что транспортные средства могут быть удаленно взломаны, чтобы вызвать хаос на шоссе. Сидя в подвале Миллера, пара использовала уязвимость безопасности в информационно-развлекательной системе автомобиля Uconnect, чтобы взорвать переменный ток, настроиться на радиостанцию ​​в стиле хип-хоп и запустить стереосистему, включить стеклоочиститель и омыватель ветрового стекла и выложить сообщение. Причудливая картина на дисплее в тире себя в соответствующих спортивных костюмах.

Чтобы донести свою мысль об уязвимостях современных подключенных автомобилей, они отключили трансмиссию, из-за чего джип терял ускорение на шоссе с полузакрытыми опорами. Позже, на стоянке, они также отключили тормоза джипа, заставив его скользить в канаву с Гринбергом за рулем.

Пугать автопроизводителей в действии

Если чтение это пугает вас, в этом и заключается смысл подвигов пары. В частности, они надеются напугать общественность и, в свою очередь, подтолкнуть автопроизводителей к действиям по кибербезопасности. Их последний рекламный трюк является прелюдией к тому, чтобы представить свои исследования по удаленному взлому на конференции по безопасности Black Hat в Лас-Вегасе в следующем месяце, не раскрывая подробностей злоумышленникам. Миллер и Valasek также уведомили Fiat Chrysler Automobiles несколько месяцев назад, чтобы автопроизводитель мог выпустить патч для всех уязвимых систем Uconnect - до 471 000 автомобилей Chrysler, Dodge, Jeep и Ram, оснащенных 8, 4-дюймовым U-Connect с сенсорным экраном,

Миллер и Валасек подняли ставки и удалились в своей работе по взлому автомобилей, которая финансируется за счет гранта Агентства перспективных исследовательских проектов в области обороны (DARPA), потому что их демонстрация два года назад «не повлияла на производителей, которых мы хотели "Миллер сказал Wired . Многие люди, занятые в автомобильной промышленности (в том числе и ваши), сомневались, можно ли успешно завершить взлом удаленной машины, и теперь Миллер и Валасек сняли все сомнения.

Последние работы Миллера и Валасека - не единственный случай удаленного взлома машины. На этой неделе исследователи в Англии нашли способ проникнуть в электронику автомобиля с помощью радиопередачи Digital Audio Broadcasting (DAB), широко используемой в Европе и Азии, которая позволяет хакеру отправлять вредоносный код для захвата информационно-развлекательной системы. Би-би-си сообщила, что «злоумышленник может использовать его как способ управления более важными системами, включая рулевое управление и торможение». А в феврале немецкий аналог Auto Club обнаружил уязвимость в некоторых автомобилях BMW, которая могла позволить хакерам удаленно открыть двери, и BMW немедленно разослала обновление программного обеспечения по воздуху (OTA) для устранения этой уязвимости.

Как показала Тесла, контрмеры, такие как обновления OTA, становятся все более распространенным явлением, и автопроизводители пытаются опередить угрозу взлома автомобилей, нанимая специальных экспертов по безопасности. Отраслевые группы также недавно сформировали новый консорциум под названием «Консультативный центр автоматического обмена информацией» (ISAC) для борьбы с киберугрозами.

В настоящее время у хакеров не так много стимулов для нацеливания на автомобили, кроме как устраивать злые шалости. «Учитывая мотивацию большинства хакеров, вероятность этого очень мала», - заметил Дэймон Маккой, доцент кафедры информатики в Университете Джорджа Мейсона и исследователь автомобильной безопасности. И Валасек сказал, что «требуется много времени и умений, чтобы потратить деньги на то, что он и Миллер сделали.

Угроза взлома автомобилей сравнивалась с зарождающимся Интернетом 20 лет назад, когда компьютеры впервые начали подключаться, а черные шляпы начали обнаруживать и эксплуатировать уязвимости. Такие компании, как Microsoft, в свою очередь, были вынуждены защищаться и выпускать исправления для системы безопасности и даже поощрять ботаников, которые обнаружили уязвимость с помощью «щедрости за ошибки».

Но это не 1995 год, и хакеры стали более многочисленными и более изощренными, и теперь на дороге могло быть больше подключенных автомобилей, поскольку они были подключены к компьютерам два десятилетия назад. Последний раунд взлома автомобилей значительно повышает ставки. «Это то, о чем все, кто думает об автомобильной безопасности, беспокоятся годами», - сказал Миллер. «Это реальность».