Video: COSIC researchers hack Tesla Model X key fob (Octombrie 2024)
Hacking-ul auto a făcut multe titluri în ultimul timp, chiar dacă a existat un singur incident documentat (care a fost un loc de muncă în urmă cu cinci ani).
Acum, atenția s-a îndreptat către dispozitivele auto conectate după vânzare, care se conectează la portul II de diagnosticare la bord al vehiculului, cunoscut și sub denumirea de perne OBD-II. Dispozitivele sunt în jur de câțiva ani și permit proprietarilor de vehicule fabricate după 1996 cu un port ODB-II să adauge conectivitate. Acestea sunt oferite de companii care variază de la mari asigurători auto până la o duzină sau mai multe start-up-uri pentru orice, de la monitorizarea stilurilor de conducere și a economiei de combustibil până la urmărirea adolescenților în timp ce sunt la volan.
Tăierea frânelor unei corvete
În fața unei conferințe de securitate din această săptămână, cercetătorii de la Universitatea din California din San Diego (UCSD) au dezvăluit cum au reușit să pirateze fără fir într-o dongle OBD-II conectată la un Corvette cu model târziu. Au trimis mesaje SMS către un dispozitiv care a pornit ștergătoarele de parbriz ale mașinii și a tăiat frânele. În timp ce cercetătorii au remarcat că piratarea frânelor nu poate fi efectuată decât la viteze mici datorită modului în care este proiectat vehiculul, ei au adăugat că atacul poate fi adaptat cu ușurință la aproape orice vehicul modern pentru a prelua componente critice, cum ar fi direcția sau transmisia.
„Am achiziționat unele dintre acestea, le-am proiectat invers și, pe parcurs, am descoperit că au o grămadă de deficiențe de securitate”, a spus Ștefan Savage, un profesor de securitate computer UCSD care a condus proiectul. Dongles-urile „oferă mai multe modalități de a controla de la distanță… controlul aproape orice este pe vehiculul cu care au fost conectate”, a adăugat el.
Cercetătorii UCSD au alertat Metromile despre vulnerabilitatea dongle-ului în iunie, iar compania a declarat că a trimis fără fir un plasture de securitate la dispozitive. "Ne-am luat acest lucru foarte în serios imediat ce am aflat", a declarat pentru Wired CEO-ul Metromile, Dan Preston.
Totuși, chiar și după ce Metromile și-a trimis corecția de securitate, mii de dongle erau vizibile și încă pot fi hackabile, în mare parte pentru că au fost utilizate de compania spaniolă de gestionare a flotelor Coordina. Într-o declarație a companiei-mamă TomTom Telematics, Coordina a spus că a analizat atacul cercetătorilor și a constatat că se aplică doar unei versiuni mai vechi a pericolelor pe care compania le folosește. Acum este în proces de înlocuire a unui „număr limitat” de dispozitive.
De asemenea, compania a menționat că numărul de telefon atribuit cardurilor SIM în dispozitivele sale nu este public și nu poate fi contactat prin intermediul unui mesaj text, la fel ca în atacul cercetătorilor UCSD. Dar cercetătorii au declarat că, chiar și fără a cunoaște numărul de telefon al unei cartele SIM, dongles-urile sunt susceptibile la atacuri de forță brută, trimițând un baraj de mesaje text.
În timp ce recentele autovehicule de producție au necesitat luni întregi pentru a efectua accesul fizic la distanță sau a necesitat vehiculului, vulnerabilitățile de securitate ale donglelor OBD-II conectate la cloud sunt cunoscute de câteva luni și par a fi mult mai ușor de hackat. Iar problema nu se limitează la produsele dispozitive mobile. În ianuarie, cercetătorul de securitate Corey Thuen a reușit să pirateze dispozitivul Snapshot al Progresistului, în timp ce cercetătorii firmei Argus au găsit defecte de securitate cu dispozitivul Zubie OBD-II.
Cercetătorii au remarcat că potențialele hacks nu se limitează doar la Corvette utilizate în testele lor și că ar putea concepe direcționarea sau frânele de aproape orice vehicul modern cu un dispozitiv de protecție mobilă conectat la bordul său. "Nu este doar această mașină care este vulnerabilă", a declarat cercetătorul UCSD, Karl Koscher.
Ca și în cazul mașinilor conectate de la producătorii de automobile, nu a existat încă un hack rău documentat al unui vehicul cu o clapă OBD-II. Cercetătorii consideră însă că amenințarea este reală și observă că, spre deosebire de conectivitatea din mașinile de producție, nu există o supraveghere guvernamentală pentru dispozitivele aftermarket.
„Avem o mulțime de acestea care sunt deja pe piață”, a adăugat Savage. "Având în vedere că am văzut o exploatare la distanță completă și aceste lucruri nu sunt reglementate în niciun fel și utilizarea lor crește… Cred că este o evaluare corectă că vor exista probleme în altă parte."
„Gândiți-vă de două ori la ceea ce vă conectați la mașină”, a avertizat Koscher. "Este greu pentru consumatorii obișnuiți să știe că dispozitivul lor este de încredere sau nu, dar este ceva la care ar trebui să se gândească un moment. Oare asta mă expune la mai multe riscuri?"
Este o întrebare legată de consumatorii de ani buni, iar șoferii care doresc să-și conecteze mașina la cloud prin dongle OBD-II vor trebui să pună acum și ei.
