Haker już teraz może przejąć twój samochód - to nie fikcja, to fakt

Dwóch ekspertów od bezpieczeństwa zdalnie przejęło niemal pełną kontrolę nad nowym samochodem. Zagrożonych jest wiele modeli różnych producentów, a informacje o tym, jak wykorzystać lukę w zabezpieczeniach zostaną upublicznione na konferencji Black Hat w pierwszym tygodniu sierpnia. Nagle zagrożenie stało się bardzo realne.

To brzmi jak problem rodem z filmu science-fiction, ale zagrożenie jeszcze nigdy nie było tak realne. Dwóch hakerów, Charlie Miller i Chris Valasek, zdołało zdalnie przejąć kontrolę nad Jeepem Cherokee. Sterowali klimatyzacją, radiem, wycieraczkami, odcięli zapłon w trakcie jazdy po autostradzie, nagle włączyli, a potem zupełnie dezaktywowali hamulce, zmieniali biegi, a nawet wykonywali manewry. Wszystko to robili na laptopie. Do tego mogli również śledzić dokładne położenie i prędkość pojazdu poruszającego się na drugim końcu Stanów Zjednoczonych.

Podatnych modeli jest jednak znacznie więcej, i to nie tylko produkcji Chryslera. Obecnie na drogach w samych Stanach Zjednoczonych może być 471 tysięcy samochodów podatnych na zdalne ataki. To nie jest problem, który może pojawić się w przyszłości, ale coś, co już może się wydarzyć.

Zobacz wideo

Co i jak?

Miller i Valasek zajmują się bezpieczeństwem od wielu lat. W 2013 roku zasłynęli przejęciem kontroli nad Fordem Escape i Toyotą Prius (wyłączyli hamulce, przejęli kontrolę nad kierownicą, manipulowali napinaczami w pasach bezpieczeństwa), choć wtedy wiele osób marginalizowało ich osiągnięcie, gdyż wymagało ono połączenia z systemem auta przez kabel diagnostyczny. Tym razem jednak atak można przypuścić zdalnie, będąc nawet tysiące kilometrów od celu.

Taki atak jest możliwy dzięki nowym systemom audio montowanym w samochodach. Od wielu lat auta naszpikowane są elektroniką, ale niedawno zaczęto do nich dodawać anteny Bluetooth, łączność Wi-Fi, a nawet połączenie z internetem przez sieć komórkową. W przypadku Jeepa Cherokee Miller i Valasek wykorzystali fabrycznie montowany system Uconnect , który steruje radiem, klimatyzacją, łączy się z naszym telefonem, daje dostęp do nawigacji, a także zamienia cały samochód w hotspot Wi-Fi. Właśnie to ostatnie, dostępne w Stanach Zjednoczonych przez operatora Sprint, umożliwia hakerom zdalny dostęp do niemal wszystkich funkcji samochodu. Hakerzy łączą się z systemem audio, a z niego przeskakują do niższych funkcji sterowania pojazdem.

UconnectUconnect Fot. Uconnect Fot. Uconnect

Jest gorzej, niż myśleliśmy

Początkowo Miller i Valasek sądzili, że zdalny dostęp do samochodu będzie możliwy tylko w bliskiej odległości od pojazdu. Najpierw myśleli, że potrzebna będzie bezpośrednia łączność przez Wi-Fi, potem spekulowali, że laptop musi być w zasięgu tego samego nadajnika GSM, aż w końcu okazało się, że wystarczy telefon z internetem 3G w sieci Sprint, by móc przeglądać listę pojazdów z Uconnect w Stanach Zjednoczonych i przypuścić atak.

O tym, co haker może zrobić z naszym samochodem przekonał się dziennikarz Wired, Andy Greenberg, który wyjechał Jeepem Cherokee na autostradę, gdy Miller i Valasek przypuścili atak. Z odległości 15 kilometrów, za pomocą laptopa i taniego smartfona z kartą Sprint, najpierw podkręcili klimatyzację, potem włączyli i zgłośnili radio (wyłączając przy tym przyciski sterujące w samochodzie), włączyli wycieraczki i spryskiwacz zasłaniając widoczność, a potem odcięli zapłon. Jakby to nie było wystarczająco straszne, w bardziej kontrolowanych warunkach bawili się także hamulcami, włączając je lub dezaktywując zupełnie, zmieniali biegi, a nawet sterowali samochodem (choć z jakiegoś powodu na razie mogą to zrobić tylko na wstecznym biegu).

Powyższa lista powinna wystarczyć, by zdrowo przestraszyć producentów samochodów i ich klientów. W końcu nie mówimy tutaj o wycieku prywatnych zdjęć z chmury, lecz o zagrożeniu, które może kosztować życie.

Zobacz wideo

Jakie samochody mogą być niebezpieczne?

Prawda jest taka, że właściwie każdy nowy samochód, bez względu na markę, może być zagrożony. Producenci rozwijają nowe systemy rozrywki i łączności nie inwestując wiele w bezpieczeństwo. Chrysler, firma produkująca Jeepy, po otrzymaniu informacji o luce wypuściła łatkę do swojego firmware'u (instalacja wymaga wizyty w serwisie lub zgrania pliku z pen drive'a). Mimo to i tak, by zmusić firmy do przywiązywania większej wagi do zabezpieczeń, Miller i Valasek ujawnią część kodu podczas tegorocznej konferencji Black Hat w Las Vegas.

Świat dowie się, jak zdalnie przejąć czyiś samochód. Mamy nadzieję, że producenci poczują, że to nie jest odległa przyszłość, ale coś co dzieje się tu i teraz.

[Za: Wired ]

Więcej o: