Kan hackere virkelig overtage din bil?

Reklame

Zubie er en lille kasse, der tilsluttes Diagnostik ombord (ODBII) havn findes i de fleste moderne biler. Det giver brugerne mulighed for at finde ud af, hvor godt de kører, og tilbyder tip til at udvide deres kilometertal med fornuftig, økonomisk kørsel. Og indtil for nylig Zubie indeholdt et alvorligt bortfald i sikkerhed, der kan give brugere sårbare over for at få deres bil fjernt kapret.

Hullet - opdaget af alumner fra Unit 8200, den israelske forsvarsstyrkes elite cybersikkerhedshold - kunne potentielt se angribere fjernt forstyrre bremsning, styring og motoren.

Zubie opretter forbindelse til en ekstern server via en GPRS-forbindelse, der bruges til at sende indsamlede data til en central server samt for at modtage sikkerhedsopdateringer.

Forskerne opdagede, at enheden begik en af ​​de vigtigste synder ved netværkssikkerhed og ikke kommunikerede med hjemmeserveren via en krypteret forbindelse. Som et resultat var de i stand til at forfalske Zubie-centralserveren og sende nogle specielt udformede malware til enheden.

Flere detaljer om angrebet er nedenfor, og du vil med glæde få at vide, at problemet siden er løst. Det rejser imidlertid et interessant spørgsmål. Hvor sikre er vores biler?

At adskille fakta fra fiktion

For mange er kørsel ikke en luksus. Det er en nødvendighed

Og det er en farlig nødvendighed ved det. De fleste mennesker er alt for fortrolige med de risici, der er forbundet med at komme bag rattet. Bilulykker er verdens største mordere, med 1,24 millioner menneskeliv, der er gået tabt på vejen i 2010 alene.

Men trafikdødsfald er faldende, og det skyldes stort set den øgede penetration af sofistikerede trafiksikkerhedsteknologier. Der er alt for mange af disse til at give en oversigt over listen, men måske er det mest udbredte eksempel OnStar, tilgængelig i USA, Canada og Kina.

Teknologien - udelukkende tilgængelig i GM-biler såvel som andre køretøjer fra virksomheder, der har valgt at licensere teknologien - overvåger din bils helbred. Det kan give vej-til-vej-anvisninger og kan automatisk yde hjælp, hvis du befinder dig i end ulykke.

Næsten seks millioner mennesker abonnerer på OnStar. Utallige flere bruger et telematiksystem, der giver forsikringsselskaberne mulighed for at spore, hvor godt biler køres, og skræddersy forsikringspakker for at belønne fornuftige chauffører. Justin Dennis for nylig gennemgik noget lignende kaldet Metronome af Metromile Spor din kilometertal, brændstofomkostninger og mere med en gratis OBD2-enhedI dag ser alt ud til at være smart - undtagen vores biler. Denne gratis ODB2-enhed og app ændrer det. Læs mere , som er frit tilgængelig for beboere i Washington, Oregon, Californien og Illinois. I mellemtiden kan mange biler efter 1998 blive forhørt og overvåget via ODBII diagnostisk port takket være Android Sådan overvåges din bils ydeevne med AndroidDet er utroligt nemt og billigt at overvåge masser af oplysninger om din bil med din Android-enhed - lær om det her! Læs mere og iOS-smartphone-apps.

Da disse teknologier har nået allestedsnærværende, har også en opmærksomhed på, at disse kan blive hacket. Intet andet sted er det mere tydeligt end i vores kulturelle psyke.

Det 2008 thriller Untraceable fremtrædende med en OnStar udstyret bil, der blev 'muret' af filmens antagonist for at lokke nogen i en fælde. Mens det hollandske IT-firma InfoSupport i 2009 lancerede en række reklamer, der viser en fiktiv hacker kaldte Max Cornellise eksternt hack til bilsystemer, inklusive en Porsche 911, der kun bruger hans bærbar.

Så med så meget usikkerhed omkring emnet er det vigtigt at vide, hvad der kan gøres, og hvilke trusler der forbliver inden for science fiction.

En kort historie med bilhacking?

Uden for Hollywood har sikkerhedsforskere udført nogle ret skræmmende ting med biler.

I 2013 Charlie Miller og Chris Valasek demonstrerede et angreb hvor de kompromitterede en Ford Escape og Toyota Prius og formåede at tage kontrol over bremse- og styrefaciliteter. Imidlertid havde dette angreb en stor ulempe, da det var betinget af, at en bærbar computer blev tilsluttet køretøjet. Dette efterlod sikkerhedsforskere nysgerrige og spekulerer på, om det var muligt at udføre den samme ting, men uden at være fysisk bundet til bilen.

Dette spørgsmål blev endeligt besvaret et år senere, da Miller og Valasek gennemførte en endnu mere detaljeret undersøgelse af sikkerheden ved 24 forskellige modeller af biler. Denne gang fokuserede de på kapaciteten for en angriber til at udføre et fjernangreb. Deres omfattende forskning producerede en rapport på 93 sider, hvilket var offentliggjort på Scribd for at falde sammen med deres opfølgende tale på sikkerhedskonferencen Blackhat i Las Vegas.

Det antydede, at vores biler ikke er så sikre, som en gang troede, med mange, der mangler den mest rudimentære cybersikkerhedsbeskyttelse. Den forbandende rapport fremhævede Cadillac Escalade, Jeep Cherokee og Infiniti Q50 som værende mest sårbare over for et fjernangreb.

Når vi ser på Infinity Q10 specifikt, ser vi nogle større bortfald i sikkerhed.

Det, der gør Infiniti så overbevisende som en bil, er også det, der gør den så sårbar. Som mange avancerede biler, der er produceret i de seneste år, leveres det med en række teknologiske funktioner, der er designet til at gøre køreoplevelsen sjovere. Disse spænder fra nøglefri oplåsning, til trådløs overvågning af dæktryk til en 'personlig assistent' smartphone-app, der grænser sammen med bilen.

Ifølge Miller og Vlasek er nogle af disse teknologiske egenskaber ikke isolerede, men snarere direkte netværk med de systemer, der er ansvarlige for motorstyring og bremsning. Dette giver mulighed for, at en angriber får adgang til bilens interne netværk og derefter udnytte en sårbarhed, der er placeret i et af de væsentlige systemer for at gå ned eller forstyrre køretøj.

Ting som nøglefri oplåsning og 'personlige assistenter' betragtes hurtigt som essentielle for chauffører, men som Charlie Miller så opmærksomt påpegede, “det er lidt skræmmende, at de alle kan tale med hver Andet."

Men vi er stadig meget i den teoretiske verden. Miller og Vlasek har demonstreret en mulig mulighed for et angreb, men ikke et faktisk angreb. Er der nogen eksempler på, at nogen faktisk har formået at forstyrre en bils computersystemer?

Nå, der er ingen mangel på angreb, der målretter nøglefri oplåsning af funktioner. Den ene blev endda demonstreret tidligere i år på Blackhat Security Conference i Las Vegas af den australske sikkerhedsforsker Silvio Cesare.

Ved hjælp af kun 1000 dollars værdifulde værktøjer, der ikke var på hylden, var han i stand til at forfalde signalet fra en nøglehoved, hvilket gjorde det muligt for ham at fjernlåse en bil. Angrebet er afhængig af, at nogen fysisk er til stede i nærheden af ​​bilen, potentielt i et par timer, som en computer og en radio-antenne sender forsøger at brute-tvinge modtageren indbygget i en bils nøglefri oplåsning system.

Når bilen er åbnet, kunne angriberen derefter potentielt forsøge at stjæle den eller hjælpe sig selv til uovervågede genstande, som føreren har efterladt. Der er meget potentiale for skader her.

Er der nogen forsvar?

Det kommer an på.

Der er allerede en form for beskyttelse mod fjernadgangssårbarheden opdaget af Charlie Miller og Chris Valasek. I månederne siden deres Blackhat snak, har de det været i stand til at konstruere en enhed fungerer som et intrusionsdetekteringssystem (IDS). Dette stopper ikke et angreb, men indikerer snarere til chaufføren, hvornår et angreb kan være i gang. Dette koster omkring $ 150 i dele og kræver lidt elektronisk know-how at opbygge.

Zubie-sårbarheden er lidt vanskeligere. Selvom hullet siden er blevet lappet, lå svagheden ikke inde i bilen, men snarere inden for den tredjepartsenhed, der var knyttet til den. Selvom biler har deres egne arkitektoniske usikkerheder, ser det ud til, at tilføjelse af ekstra tilbehør kun øger de potentielle muligheder for et angreb.

Måske den eneste måde at være virkelig sikkert er at køre en gammel bil. En der mangler de meget sofistikerede klokker og fløjter fra moderne avancerede biler og til at modstå trangen til at skubbe ting ind i din ODBII-port. Der er sikkerhed i enkelhed.

Er det sikkert at køre min bil?

Sikkerhed er en evolutionær proces.

Når folk får en større forståelse af truslerne omkring et system, udvikler systemet sig for at beskytte imod dem. Men bilverdenen har ikke ret haft det ShellShock Værre end Heartbleed? Mød ShellShock: En ny sikkerhedstrussel til OS X og Linux Læs mere eller heartbleed-bug Heartbleed - Hvad kan du gøre for at være sikker? Læs mere . Jeg kan forestille mig, at når den har oplevet sin første kritiske trussel - det er den første nul dag, hvis du vil - bilproducenter reagerer passende og tager skridt til at gøre køretøjets sikkerhed så lidt mere stringent.

Men hvad synes du? Er det lidt optimistisk? Er du bekymret for, at hackere overtager din bil? Jeg vil gerne høre om det. Giv mig en kommentar nedenfor.

Fotokreditter: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com