Hakowanie samochodów to nie fantastyka, znana z amerykańskich filmów, ale już rzeczywistość. Jak twierdzą eksperci bezpieczeństwa takie ataki stanowią coraz realniejsze zagrożenie dla właścicieli nowych pojazdów. Eksperci z firmy ESET przedstawiają 6 faktów dotyczących hakowania samochodów.
Wbudowana nawigacja, komputer pokładowy, czujniki deszczu, automatyczne zatrzymanie przed przeszkodą, HUD – czyli wyświetlacz znaków i informacji na szybie samochodu – wszystko to jest możliwe dzięki zastosowaniu technologii w samochodach. Jednak wraz z rozwojem technologii wprowadzanych do najnowocześniejszych samochodów, przed deweloperami stanęło wyzwanie odpowiedniego zabezpieczenia tych technologicznych pojazdów. Eksperci bezpieczeństwa z firmy ESET sprawdzają pewne fakty dotyczące ataków na samochody.
Pierwsze samochody zostały zhakowane już 5 lat temu
Chociaż informacja o zhakowanych samochodach szeroko pojawiła się w mediach stosunkowo niedawno, to już w 2010 roku zespół naukowców z University of Washington oraz University of California w San Diego poinformował, że może przejąć kontrolę nad samochodem przy wykorzystaniu luk w systemie danego pojazdu. Naukowcy wyjaśnili, że coraz więcej samochodów wyposażonych jest w technologie i komputery pokładowe, dzięki którym haker może przejąć kontrolę nad praktycznie każdą elektroniczną jednostką sterującą – systemem hamulcowym, silnikiem czy wtryskiem paliwa. Podczas specjalnego eksperymentu naukowcy pokazali jak przejmują kontrolę nad radiem, hamulcami i silnikiem pojazdu. Wtedy nie powiedzieli nad samochodem jakiej marki przejęli kontrolę – teraz wiadomo, że był to Chevrolet Impala z 2009 roku.
Nowy poziom hakowania możliwy dzięki wykorzystaniu luk w systemie radiowym auta
Na początku tego roku, amerykańscy naukowcy wynieśli hakowanie samochodów na wyższy poziom – ujawnili dużą wadę w samochodzie Jeep Cherokee. Charlie Miller i Chris Valasek wykorzystali luki w systemie radiowym pojazdu do zdalnego kontrolowania: klimatyzacji, radia, hamulców i silnika – podczas eksperymentu udało im się nawet zatrzymać pojazd z dziennikarzami znajdującym się w środku. Miller i Valasek poinformowali o odkrytej luce producenta, co poskutkowało tym, że oprogramowanie w samochodach Jeep, Dodges i Chrysler zostało zaktualizowane.
Podatne immobilizery
Jeden z eksperymentów wykazał, że cyberprzestępcy mogą wyłączyć elektroniczne urządzenia zabezpieczające i otworzyć samochód bez użycia prawdziwego klucza. Naukowcy Roel Verdult, Flavio Garcia i Baris Ege wykorzystali słabość kryptografii i uwierzytelniania zastosowanych w odbiornikach RFID (technologia wykorzystująca niskie fale radiowe, służąca do odczytywania kart chipowych) firmy Menagnos, który używane są w wielu immobilizerach. W swoim raporcie opisali, że skutki przedstawionego ataku są szczególnie poważne dla tych pojazdów, które odpalają samochód bez użycia kluczyka. Dlaczego bardziej podatne są auta bez kluczyka? Główną przyczyną jest, jak twierdzą naukowcy, brak dodatkowego wzmocnienia mechanizmów kryptograficznych w samochodach ,,bez kluczykowych” .
Pracownik dealera samochodowego też został hakerem
Niezadowolony pracownik może narazić reputację swojej firmy na szwank. Pięć lat temu, były pracownik dealera samochodowego Texas Auto Center wykorzystał swoją konsolę zdalnego dostępu do samochodów, aby unieruchomić i manipulować aż setką pojazdów. Klienci, którzy kupili samochody w Texas Auto Center informowali firmę, że ich samochody nie pracują tak jak powinny, a w środku nocy często włączał się alarm.
Zhakowane auto nie musi być podłączone do Internetu
Często zakłada się, że tylko podłączone do sieci samochody mogą być atakowane przez osoby trzecie, ale to nie do końca prawda. Policja Stanowa w Wirginii potwierdziła to podczas swoich eksperymentów na samochodach Chevrolet Impala i Ford Taurus. Policjanci z Virginia Department of Motor Vehicles, naukowcy z University of Virginia i organizacja Mitre Corporation odkryli, że mogą uniemożliwić zmianę biegów przez kierującego, zwiększyć obroty silnika, spowodować jego przyspieszenie czy całkowicie go odciąć w samochodzie niepodłączonym do sieci. Ponadto, Mitre Corporation odkryła sposób ataku, który umożliwia otworzenie bagażnika i drzwi pasażera, a także blokadę drzwi kierowcy, włączanie wycieraczek i używanie płynu do spryskiwaczy. Ataki te nie były łatwe, ponieważ wymagały od atakujących nie tylko przejęcia samochodowego systemu komputerowego policji stanowej, ale także bezpośredniego dostępu do samochodu. Pierwsze ataki zostały przeprowadzone za pomocą aplikacji w smartfonie, który został podłączony do urządzenia w samochodzie za pomocą Bluetooth. Ten rodzaj ataku wymaga znajomości elektroniki modelu samochodu, i dostępu fizycznego, ale powyższy eksperyment pokazuje, że takie ataki są możliwe – nawet w samochodzie bez podłączenia do Internetu.
Wdrożenie poprawek bezpieczeństwa w systemach samochodowych zabiera lata
Dostarczanie poprawek do systemów samochodowych stanowi nie lada wyzwanie dla ekspertów bezpieczeństwa i deweloperów samochodowych. Obawy w temacie bezpieczeństwa systemów samochodowych wyraził amerykański senator Edward Markey, który w opublikowanym w lutym 2015 roku raporcie krytykuje przemysł samochodowy za jego słabą reakcję na informacje o lukach w zabezpieczeniach. W swoim raporcie Markey wskazuje, że osoby odpowiedzialne za systemy samochodowe nie wykonały odpowiednej pracy, aby zabezpieczyć samochody przed atakami, a tym samym systemy pozostają całkowicie niezabezpieczone. Przykładem może być opisany na początku testu przypadek zhakowanego samochodu Chevrolet Impala. Jak podaje magazyn Wired, aż 5 lat zajęło firmie General Motors rozwiązanie tego problemu bezpieczeństwa.