Kan hackere virkelig overta bilen din?

Annonse

Zubie er en liten boks som kobles til Diagnostikk om bord (ODBII) havn som finnes i de fleste moderne biler. Den lar brukerne finne ut hvor godt de kjører, og tilbyr tips for å utvide kjørelengden med fornuftig, økonomisk kjøring. Og inntil nylig, Zubie inneholdt et alvorlig bortfall i sikkerhet som kan forlate brukere sårbare for å få kapret bilen sin fjernt.

Hullet - oppdaget av studenter fra Unit 8200, den israelske forsvarsstyrkens elite cybersecurity-team - kan potensielt se angripere eksternt forstyrre bremsing, styring og motoren.

Zubie kobles til en ekstern server via en GPRS-forbindelse, som brukes til å sende samlet data til en sentral server, samt for å motta sikkerhetsoppdateringer.

Forskerne oppdaget at enheten begikk en av de viktigste syndene ved nettverkssikkerhet og ikke kommuniserte til hjemmeserveren over en kryptert forbindelse. Som et resultat kunne de forfalsket Zubie-sentralserveren og sende noen spesiallagde malware til enheten.

Flere detaljer om angrepet er nedenfor, og du vil være fornøyd med å vite at problemet siden har blitt løst. Det reiser imidlertid et interessant spørsmål. Hvor sikre er bilene våre?

Å skille fakta fra fiksjon

For mange er ikke bilkjøring en luksus. Det er en nødvendighet

Og det er en farlig nødvendighet i det. De fleste er altfor kjent med risikoen forbundet med å komme bak rattet. Bilulykker er den av verdens største drapsmenn, med 1,24 millioner menneskeliv mistet på veien bare i 2010.

Men trafikkdødsfallet avtar, og det skyldes i stor grad økt penetrasjon av sofistikerte trafikksikkerhetsteknologier. Det er altfor mange av disse til å omfatte liste, men kanskje er det mest utbredte eksemplet OnStar, tilgjengelig i USA, Canada og Kina.

Teknologien - utelukkende tilgjengelig i GM-biler, så vel som andre kjøretøyer fra selskaper som har valgt å lisensiere teknologien - overvåker helsen til bilen din. Den kan gi veibeskrivelser, og kan automatisk yte assistanse hvis du befinner deg i en ulykke.

Nesten seks millioner mennesker abonnerer på OnStar. Utallige flere bruker et telematikksystem, som lar forsikringsselskapene spore hvor godt biler blir kjørt og skreddersy forsikringspakker for å belønne fornuftige sjåfører. Justin Dennis har nylig anmeldt noe lignende som heter Metronome av Metromile Spor kjørelengden, drivstoffkostnadene og mer med en gratis OBD2-enhetNå for tiden ser alt ut til å være smart - bortsett fra bilene våre. Denne gratis ODB2-enheten og appen endrer det. Les mer , som er fritt tilgjengelig for innbyggere i Washington, Oregon, California og Illinois. I mellomtiden kan mange biler etter 1998 forhøres og overvåkes via ODBII diagnostisk port takket være Android Slik overvåker du bilens ytelse med AndroidÅ overvåke massevis av informasjon om bilen din er utrolig enkelt og billig med Android-enheten din - lær om den her! Les mer og iOS-smarttelefonapper.

Ettersom disse teknologiene har nådd allestedsnærværende, har også en bevissthet om at disse kan bli hacket. Ingen andre steder er det mer tydelig enn i vår kulturelle psyke.

De 2008 thriller Untraceable fremtredende med en OnStar utstyrt bil som ble "murt" av filmens antagonist for å lokke noen til en felle. Mens det nederlandske IT-firmaet InfoSupport i 2009 lanserte en serie reklamefilmer som viser en fiktiv hacker kalte Max Cornellise eksternt hacking i bilsystemer, inkludert en Porsche 911, bare ved å bruke hans laptop.

Så med så mye usikkerhet rundt problemet, er det viktig å vite hva som kan gjøres, og hvilke trusler som fortsatt er innenfor science fiction.

En kort historie om bilhacking?

Utenfor Hollywood har sikkerhetsforskere oppnådd noen ganske skumle ting med biler.

I 2013 Charlie Miller og Chris Valasek demonstrerte et angrep der de kompromitterte en Ford Escape og Toyota Prius og klarte å ta kontroll over bremse- og styrefasilitetene. Imidlertid hadde dette angrepet en stor ulempe, ettersom det var betinget av at en bærbar PC ble koblet til bilen. Dette lot sikkerhetsforskere være nysgjerrige, og lurte på om det var mulig å oppnå det samme, men uten å være fysisk bundet til bilen.

Dette spørsmålet ble endelig besvart ett år senere, da Miller og Valasek gjennomførte en enda mer detaljert studie om sikkerheten til 24 forskjellige bilmodeller. Denne gangen fokuserte de på kapasiteten til en angriper til å utføre et eksternt angrep. Deres omfattende forskning produserte en 93 sider lang rapport publisert på Scribd for å falle sammen med deres oppfølgingsforedrag på sikkerhetskonferansen Blackhat i Las Vegas.

Det antydet at bilene våre ikke er så sikre som en gang trodde, med mange som mangler de mest rudimentære cybersikkerhetsbeskyttelsene. Den forbannende rapporten fremhevet Cadillac Escalade, Jeep Cherokee og Infiniti Q50 som de mest utsatte for et fjernt angrep.

Når vi ser på Infinity Q10 nærmere bestemt, ser vi noen større bortfall i sikkerhet.

Det som gjør Infiniti så overbevisende som en bil, er også det som gjør den så sårbar. Som mange avanserte biler produsert de siste årene, kommer den med en rekke teknologiske funksjoner designet for å gjøre kjøreopplevelsen morsommere. Disse spenner fra nøkkelfri opplåsing, til trådløs dekktrykkovervåking, til en ‘personlig assistent’ smarttelefonapp som grensesnitt mot bilen.

I følge Miller og Vlasek er noen av disse teknologiske funksjonene ikke isolert, men snarere koblet direkte med systemene som er ansvarlige for motorstyring og bremsing. Dette åpner muligheten for at en angriper får tilgang til bilens interne nettverk, og deretter utnytte en sårbarhet som ligger i et av de essensielle systemene for å krasje eller forstyrre kjøretøy.

Ting som nøkkelløs opplåsing og ‘personlige assistenter’ blir raskt sett på som essensielle for sjåfører, men som Charlie Miller så nøye påpekte, "det er litt skummelt at de alle kan snakke med hver annen."

Men vi er fremdeles veldig inne i den teoretiske verdenen. Miller og Vlasek har demonstrert en potensiell mulighet for et angrep, men ikke et faktisk angrep. Er det noen eksempler på at noen faktisk har klart å forstyrre datasystemer for en bil?

Vel, det er ingen mangel på angrep som målretter nøkkelfrie opplåsingsfunksjoner. En ble til og med demonstrert tidligere i år på Blackhat Security Conference i Las Vegas av den australske sikkerhetsforskeren Silvio Cesare.

Ved å bruke bare 1000 dollar verdt av hyllevare-verktøy, var han i stand til å forfalse signalet fra en nøkkel-fob, slik at han eksternt kunne låse opp en bil. Angrepet er avhengig av at noen fysisk er til stede i nærheten av bilen, potensielt i noen timer, som en datamaskin og en radio-antenne sender prøver å tvinge mottakeren innebygd i en bils nøkkelfrie opplåsing system.

Når bilen er åpnet, kan angriperen potensielt forsøke å stjele den, eller hjelpe seg selv til eventuelle ubetjente gjenstander som føreren har etterlatt. Det er mye potensiale for skade her.

Er det noen forsvar?

Det kommer an på.

Det er allerede en form for beskyttelse mot sårbarheten for ekstern tilgang oppdaget av Charlie Miller og Chris Valasek. I månedene siden Blackhat snakket, har de det vært i stand til å konstruere en enhet fungerer som et inntrengingsdeteksjonssystem (IDS). Dette stopper ikke et angrep, men indikerer snarere til sjåføren når et angrep kan pågå. Dette koster rundt $ 150 i deler, og krever litt elektronisk kunnskap å bygge.

Zubie-sårbarheten er litt vanskeligere. Selv om hullet siden har blitt lappet, lå ikke svakheten i bilen, men i tredjepartsenheten som var festet til den. Selv om biler har sine egne arkitektoniske usikkerheter, ser det ut til at å legge til ekstra tillegg bare øker de potensielle mulighetene for et angrep.

Kanskje den eneste måten å være virkelig sikkert er å kjøre en gammel bil. En som mangler de svært sofistikerte klokkene og fløytene til moderne, avanserte biler, og for å motstå trangen til å skyve ting inn i ODBII-porten. Det er sikkerhet i enkelhet.

Er det trygt å kjøre bilen min?

Sikkerhet er en evolusjonær prosess.

Når folk får en større forståelse av truslene rundt et system, utvikler systemet seg for å beskytte mot dem. Men bilverdenen har ikke helt hatt det Granatsjokk Verre enn hjertefulle? Møt ShellShock: En ny sikkerhetstrussel for OS X og Linux Les mer eller HeartBleed Heartbleed - Hva kan du gjøre for å holde deg trygg? Les mer . Jeg ser for meg at når den har opplevd sin første kritiske trussel - det er første null dag, hvis du vil - bilprodusenter vil svare på riktig måte og ta skritt for å gjøre kjøretøyets sikkerhet like mye mer strenge.

Men hva tror du? Er det litt optimistisk? Er du bekymret for at hackere overtar bilen din? Jeg vil høre om det. Send meg en kommentar nedenfor.

Fotokreditter: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com