Skeptici imaju pravo da budu zabrinuti zbog široko rasprostranjenog problema.
Ukoliko ste kupili novi automobil u poslednjih nekoliko godina, velike su šanse da sadrži bar jedan ugrađeni modem, koji se koristi za pružanje nekih povezanih usluga.
Rečeno nam je da su prednosti brojne i uključuju praktične funkcije poput one koja vam zagreje automobil pre nego što uopšte uđete u njega, dijagnostiku koja upozorava na kvarove pre nego što se dogode i bezbednosne funkcije kao što je praćenje vašeg tinejdžera kojem ste dali da provoza automobil.
U nekim regionima, povezani automobili (engl. Connected Cars) su čak obavezni, kao u eCall sistemu Evropske unije. Ali ako ovi sistemi zvuče kao potencijalna bezbednosna noćna mora, to je zato što često jesu.
Krajem prošle godine, stručnjak za sajber bezbednost po imenu Sem Kari testirao je bezbednost različitih proizvođača automobila i otkrio bezbednosne rupe i ranjivosti, pa… gotovo gde god da je pogledao.
Kari je odlučio da istraži potencijalne rupe u digitalnoj infrastrukturi auto industrije kada je prošle jeseni posetio Univerzitet Merilend. Sem i njegove kolege su se “zezali” po kampusu, pre nego što su naišli na flotu električnih skutera.
Sem je tada odlučio da se “poigra” sa aplikacijom i otkrio je da može da uključi sirene i farove cele flote.
Nakon što su prijavili ranjivost kompaniji, Kari i njegove kolege usmerili su svoju pažnju na veća vozila.
Ovi stručnjaci otkrili su velike probleme sa 16 OEM-a, telematskim uslugama kao što je LoJack, pa čak i novim digitalnim registarskim tablicama.
U svom najširem smislu, telematika je spajanje dve nauke — telekomunikacija i informatike. Danas se ovaj izraz obično koristi u vezi sa telematskim rešenjima koja se koriste u komercijalnim vozilima i često se tu pronalaze ranjivosti.
Udaljene usluge
Naoružani samo identifikacionim brojem vozila, hakeri su uspeli da pristupe daljinskim uslugama za automobile kompanija kao što su Acura, Honda, Infiniti, Kia, i Nissan, uključujući lociranje i otključavanje automobila, pokretanje ili zaustavljanje motora i slično.
U slučaju Kije, istraživači su čak uspeli da pristupe i kamerama za parkiranje na vozilu.
Genesis, Hyundai i Porsche vozila su na sličan način bila lagana za eksploataciju. Jedno Porsche vozilo su čak uspeli da lociraju i pošalju mu komande.
Telematski eksploati
Kompanija Spireon — koja pruža usluge kao što je LoJack—imala je višestruke sigurnosne rupe koje su hakerima omogućile “[potpun] administratorski pristup administrativnom panelu u celoj kompaniji sa [mogućnošću] slanja proizvoljnih komandi na oko 15,5 miliona vozila (otključavanje, pokretanje motora, onemogućavanje pokretača itd.), čitanje bilo koje lokacije uređaja i flešovanje/ažuriranje firmvera uređaja”, rekao je Kari.
Sem i njegove kolege su u jednom trenutku uspeli da “upravljaju američkom policijskom upravom gde su mogli da prate celu policijsku flotu”.
Digitalne registarske tablice koje su nedavno odobrene za upotrebu u Kaliforniji takođe su bile ranjive. Kari je otkrio da može da dobije “super administratorski” pristup i da upravlja svim korisničkim nalozima i uređajima, uključujući praćenje automobila i promenu poruka prikazanih na digitalnim registarskim tablicama.
Korporativni back-end
Mercedes-Benz, BMW i Rolls-Royce su hakovani putem ranjivosti jedinstvene prijave koje su omogućavale pristup korporativnim mrežama i ličnim podacima o zaposlenima ili klijentima (PII).
Fordov telematički API je bio podložan haku koji je takođe otkrivao PII klijenata, dok su nesigurne direktne reference na objekte omogućile hakerima da pronađu PII za Ferrari, Jaguar Land Rover i Toyota Financial klijente.
Konačno, procureli Amazon Web Services ključevi dali su hakerima pristup dobavljaču telematike Sirius XM Connected Vehicle Services, sa “mogućnošću da preuzmu sve datoteke, uključujući (ono što je delovalo kao) korisničke baze podataka, izvorni kod i konfiguracione datoteke”.
Detaljniji opisi svake ranjivosti su dokumentovani na Karijevom blogu.
Rejting za sajber bezbednost deluje kao dobra ideja
Američka vlada planira da pokrene program rejtinga za sajber bezbednost za IoT uređaje 2023. godine, sličan EnergyStar ocenama koje potrošačima govore koliko električne energije će koristiti njihov televizor ili neki drugi uređaj.
Bela kuća želi da Nacionalni institut za standarde i tehnologiju (NIST) i Federalna trgovinska komisija (FTC) osmisle osnovni set bezbednosnih standarda kako bi Amerikanci mogli na prvi pogled da procene da li je novi zvučnik ili veš mašina u opasnosti da se pridruži botnetu ili da bude pogođena ransomware-om.
Još nema naznaka da Bela kuća, NIST ili FTC planiraju da uključe povezane automobile ili EV punjače u novu šemu, ali verovatno postoji veća šansa da se to dogodi nego da svaki povezan automobil bude opremljen fizičkim prekidačem da se isključi povezanost.
Donekle ohrabrujuća vest je da su otkrića hakera dovela do toga da su pogođene auto-kompanije popravile neke od svojih ranjivosti, ali ovo je još jedan primer gde je, reklo bi se, rejting za sajber bezbednost za moderne automobile dobra ideja.
0 komentara