Haker już teraz może przejąć twój samochód - to nie fikcja, to fakt

Dwóch ekspertów od bezpieczeństwa zdalnie przejęło niemal pełną kontrolę nad nowym samochodem. Zagrożonych jest wiele modeli różnych producentów, a informacje o tym, jak wykorzystać lukę w zabezpieczeniach zostaną upublicznione na konferencji Black Hat w pierwszym tygodniu sierpnia. Nagle zagrożenie stało się bardzo realne.

To brzmi jak problem rodem z filmu science-fiction, ale zagrożenie jeszcze nigdy nie było tak realne. Dwóch hakerów, Charlie Miller i Chris Valasek, zdołało zdalnie przejąć kontrolę nad Jeepem Cherokee. Sterowali klimatyzacją, radiem, wycieraczkami, odcięli zapłon w trakcie jazdy po autostradzie, nagle włączyli, a potem zupełnie dezaktywowali hamulce, zmieniali biegi, a nawet wykonywali manewry. Wszystko to robili na laptopie. Do tego mogli również śledzić dokładne położenie i prędkość pojazdu poruszającego się na drugim końcu Stanów Zjednoczonych.

Podatnych modeli jest jednak znacznie więcej, i to nie tylko produkcji Chryslera. Obecnie na drogach w samych Stanach Zjednoczonych może być 471 tysięcy samochodów podatnych na zdalne ataki. To nie jest problem, który może pojawić się w przyszłości, ale coś, co już może się wydarzyć.

Co i jak?

Miller i Valasek zajmują się bezpieczeństwem od wielu lat. W 2013 roku zasłynęli przejęciem kontroli nad Fordem Escape i Toyotą Prius (wyłączyli hamulce, przejęli kontrolę nad kierownicą, manipulowali napinaczami w pasach bezpieczeństwa), choć wtedy wiele osób marginalizowało ich osiągnięcie, gdyż wymagało ono połączenia z systemem auta przez kabel diagnostyczny. Tym razem jednak atak można przypuścić zdalnie, będąc nawet tysiące kilometrów od celu.

Taki atak jest możliwy dzięki nowym systemom audio montowanym w samochodach. Od wielu lat auta naszpikowane są elektroniką, ale niedawno zaczęto do nich dodawać anteny Bluetooth, łączność Wi-Fi, a nawet połączenie z internetem przez sieć komórkową. W przypadku Jeepa Cherokee Miller i Valasek wykorzystali fabrycznie montowany system Uconnect , który steruje radiem, klimatyzacją, łączy się z naszym telefonem, daje dostęp do nawigacji, a także zamienia cały samochód w hotspot Wi-Fi. Właśnie to ostatnie, dostępne w Stanach Zjednoczonych przez operatora Sprint, umożliwia hakerom zdalny dostęp do niemal wszystkich funkcji samochodu. Hakerzy łączą się z systemem audio, a z niego przeskakują do niższych funkcji sterowania pojazdem.

Uconnect Fot. Uconnect

Jest gorzej, niż myśleliśmy

Początkowo Miller i Valasek sądzili, że zdalny dostęp do samochodu będzie możliwy tylko w bliskiej odległości od pojazdu. Najpierw myśleli, że potrzebna będzie bezpośrednia łączność przez Wi-Fi, potem spekulowali, że laptop musi być w zasięgu tego samego nadajnika GSM, aż w końcu okazało się, że wystarczy telefon z internetem 3G w sieci Sprint, by móc przeglądać listę pojazdów z Uconnect w Stanach Zjednoczonych i przypuścić atak.

O tym, co haker może zrobić z naszym samochodem przekonał się dziennikarz Wired, Andy Greenberg, który wyjechał Jeepem Cherokee na autostradę, gdy Miller i Valasek przypuścili atak. Z odległości 15 kilometrów, za pomocą laptopa i taniego smartfona z kartą Sprint, najpierw podkręcili klimatyzację, potem włączyli i zgłośnili radio (wyłączając przy tym przyciski sterujące w samochodzie), włączyli wycieraczki i spryskiwacz zasłaniając widoczność, a potem odcięli zapłon. Jakby to nie było wystarczająco straszne, w bardziej kontrolowanych warunkach bawili się także hamulcami, włączając je lub dezaktywując zupełnie, zmieniali biegi, a nawet sterowali samochodem (choć z jakiegoś powodu na razie mogą to zrobić tylko na wstecznym biegu).

Powyższa lista powinna wystarczyć, by zdrowo przestraszyć producentów samochodów i ich klientów. W końcu nie mówimy tutaj o wycieku prywatnych zdjęć z chmury, lecz o zagrożeniu, które może kosztować życie.

Jakie samochody mogą być niebezpieczne?

Prawda jest taka, że właściwie każdy nowy samochód, bez względu na markę, może być zagrożony. Producenci rozwijają nowe systemy rozrywki i łączności nie inwestując wiele w bezpieczeństwo. Chrysler, firma produkująca Jeepy, po otrzymaniu informacji o luce wypuściła łatkę do swojego firmware'u (instalacja wymaga wizyty w serwisie lub zgrania pliku z pen drive'a). Mimo to i tak, by zmusić firmy do przywiązywania większej wagi do zabezpieczeń, Miller i Valasek ujawnią część kodu podczas tegorocznej konferencji Black Hat w Las Vegas.

Świat dowie się, jak zdalnie przejąć czyiś samochód. Mamy nadzieję, że producenci poczują, że to nie jest odległa przyszłość, ale coś co dzieje się tu i teraz.

 

[Za: Wired]