Oddaljeno krampanje avtomobilov je zdaj resničnost | doug novinec

Doslej so demonstracije avtomobilskih krajev izvajali le, ko so raziskovalci na področju varnosti trdo vtikali v električni sistem vozila. Leta 2010 je bil zabeležen samo en primer resničnega krajanja avtomobilov v resničnem svetu, toda to je bila notranja služba nezadovoljnega uslužbenca avtomobilskih trgovcev, ki je opeval več kot 100 vozil z izkoriščanjem tehnologije, ki omogoča oddaljeno zaseg.

Toda v začetku tega tedna sta dva varnostna raziskovalca, ki sta izpostavila povezane ranljivosti avtomobilov nekoliko križarska vojna, na dramatičen in nekoliko nevaren način pokazala, kako sta lahko na daljavo onemogočila kritične sisteme džipa Cherokee iz leta 2014, medtem ko je bilo vozilo na avtocesti St. Louis. Charlie Miller, varnostni raziskovalec na Twitterju, in Chris Valasek, direktor raziskav varnosti vozil pri podjetju IOActive, sta pred dvema letoma postavila naslove tako, da sta pokazala, kako lahko privežeta rog, zaskočita varnostne pasove, ubijete zavore in nadzorujete volan Ford Escape in Toyota Prius z zadnjega sedeža z uporabo prenosnih računalnikov in fizične povezave z vozili.

Njihovo nadaljnje spremljanje, ponovno s pisateljem Andyjem Greenbergom za volanom, je bilo namenjeno prestrašiti avtomobilska podjetja in lastnike avtomobilov z dokazovanjem, da lahko vozila na daljavo pokvarijo in povzročijo pustovanje na avtocesti. Medtem ko je sedel v Millerjevi kleti milj stran, je par uporabil varnostno šibkost v informacijsko-zabavnem sistemu Uconnect vozila, da je razstrelil AC, nastavil hip-hop radijsko postajo in sprožil stereo sistem, vklopil brisalce in pranje vetrobranskega stekla in objavil snarky slika na pomišljenem zaslonu v ustreznih oblekah.

Da bi domov odpeljali svoje mnenje o ranljivosti sodobnih povezanih avtomobilov, so onemogočili menjalnik, zaradi česar je Jeep izgubil pospešek na avtocesti, s pol polnjenjem na njem. Kasneje so na parkirišču deaktivirali tudi zavore Jeepa, zaradi česar je zdrsnil v jarek z Greenbergom za volanom.

Zastrašujoče proizvajalce avtomobilov v akcijo

Če vas to branje prestraši, je v tem ravno poanta podvigov. Natančneje, upajo, da bodo javnost prestrašili in posledično poskočili proizvajalce avtomobilov v akcijo na področju kibernetske varnosti. Njihov najnovejši publicistični kaskader je uvod v predstavitev oddaljenih hekerskih raziskav na varnostni konferenci Black Hat v Las Vegasu prihodnji mesec, ne da bi razkrili podrobnosti zlonamernim hekerjem. Miller in Valasek sta pred meseci tudi obvestila Fiat Chrysler Automobiles, da je lahko proizvajalec avtomobilov izdal obliž za vse prizadete sisteme Uconnect - kar 471.000 vozil Chrysler, Dodge, Jeep in Ram, opremljenih z 8, 4-palčnim sistemom zaslona na dotik U-Connect..

Miller in Valasek sta dvignila kolke in se oddaljila od svojega avtomobilskega dela, ki ga financira donacija Agencije za napredne raziskovalne projekte za obrambo (DARPA), ker njihova demonstracija pred dvema letoma "ni vplivala na proizvajalce, ki smo jih želeli, "Je Miller povedal Wiredu . Številni ljudje, ki se ukvarjajo z avtomobilsko industrijo (tudi resnično tvoji), so se spraševali, ali je mogoče uspešno končati odkritje avtomobila na daljavo in zdaj sta Miller in Valasek odpravila dvome.

Nedavno delo Millerja in Valaseka ni edini primer oddaljenega krajanja avtomobilov. Ta teden so raziskovalci v Angliji našli način elektronike avtomobila z radijsko funkcijo Digital Audio Broadcasting (DAB), ki se običajno uporablja v Evropi in Aziji, kar bi hekerju lahko omogočilo pošiljanje zlonamerne kode za prevzem informacijsko-zabavnega sistema. BBC je poročal, da bi ga "napadalec lahko uporabil kot način za nadzor nad bolj kritičnimi sistemi, vključno s krmiljenjem in zaviranjem." Februarja je nemški ekvivalent Auto Club odkril varnostno napako v nekaterih vozilih BMW, ki bi lahko hekerjem omogočile odklepanje vrat na daljavo, BMW pa je takoj poslal varnostno posodobitev programske opreme (OTA), da bi odpravil ranljivost.

Protiukrepi, kot so posodobitve sistema OTA, so vse pogostejši, kot je pokazal Tesla, proizvajalci avtomobilov pa so poskušali ostati pred grožnjo avtomobilov z najemom predanih varnostnih strokovnjakov. Industrijske skupine so pred kratkim ustanovile tudi nov konzorcij, imenovan Svetovalni center za samodejno delitev informacij (ISAC) za boj proti kibernetskim grožnjam.

Prav tako trenutno ni veliko spodbud za hekerje, da ciljajo na avtomobile, poleg tega, da bi potegnili zlonamerne potegavščine. "Glede na motivacijo večine hekerjev je možnost zelo majhna, " je opazil Damon McCoy, docent za računalništvo na univerzi George Mason in raziskovalec avtomobilske varnosti. In Valasek je dejal, da "je potrebno veliko časa spretnosti in denarja, da se izvleče, kar sta dosegla on in Miller.

Grožnjo kramp avtomobilov primerjajo z novoletnim internetom pred 20 leti, ko so se računalniki prvič začeli povezovati in Črne kape začele izpostavljati in izkoriščati ranljivosti. Podjetja, kot je Microsoft, so bila namreč primorana nadaljevati obrambo in izdajati varnostne popravke ter celo nagrajevati nergane, ki so razkrili ranljivost z "bug bounties".

Ni pa leto 1995 in hekerji so obilnejši in bolj izpopolnjeni, na cesti pa bi bilo lahko več povezanih avtomobilov, ko so bili pred dvema desetletjema povezani z računalniki. Zadnji krog avtomobilskih hekerjev znatno dviguje stave. "To je tisto, o čemer že leta skrbijo vsi, ki razmišljajo o varnosti avtomobilov, " je dejal Miller. "To je resničnost."