Главная » Новинки ИТ технологий » Взломать за 60 секунд: как хакеры угоняют автомобили
01.08.2019

Взломать за 60 секунд: как хакеры угоняют автомобили

Взломать за 60 секунд: как хакеры угоняют автомобили

Автомобильная киберпреступность растет угрожающими темпами: за прошедший год в одном лишь Лондоне преступники, создав дубликат «хозяйского» радиобрелка для разблокировки иммобилайзера, похитили более 6 тысяч машин и микроавтобусов. По статистике столичной полиции, это 42% от всех краж транспортных средств в городе. Число угонов с применением высокотехнологичных средств растет пропорционально тому, как машины «умнеют».

Современные автомобили — уже давно не просто транспортное средство, а настоящие компьютеры со сложной электронной начинкой. Они все чаще оснащаются продвинутыми информационно-развлекательными системами — к примеру, OnStar в продукции General Motorls, которая разрешает дистанционно открывать двери, включать «аварийку» и свет фар. Она же несёт ответственность за непроизвольный вызов медслужб в случае аварии, уведомляет водителя о неисправностях, отслеживает такие параметры, как скорость, расположение а также применение ремня безопасности.

Думается, совсем скоро машины и вовсе обучатся ездить при минимальном вмешательстве человека — либо вовсе без его участия. Этим летом самоуправляемые «гугломобили», тестировавшиеся с 2009 года, в первый раз вышли на автострады неспециализированного пользования (и уже успели попасть в первое ДТП с пострадавшими), а корейский концерн Hyundai Motor стал первым автопроизводителем, интегрировавшим в свою продукцию Android Auto. «Автомобильная» версия платформы Google, появившаяся в седане Hyundai Sonata 2015 года выпуска, владеет интерфейсом в стиле «карточек» Google Now и понимает голосовые команды. Не убирая руки с руля, водители смогут звонить, отвечать на сообщения, прокладывать маршруты на карте, отслеживать дорожную обстановку (пробки и ДТП), и искать в Интернете.

Неустанно совершенствуют «подключенные» машины и ведущие производители. Ранее в этом месяце альянс из германских концернов (BMW, Audi и Daimler) выкупил за $3 миллиарда у Nokia онлайн-карты HERE, каковые разрешат им открыть «высокоавтоматизированный класс опыта вождения». Навигационные технологии — неотъемлемый элемент для машин-беспилотников. С их помощью «умные» машины смогут не только самостоятельно ездить, но и взять на себя отдельные задачи, такие как парковка, торможение либо обнаружение препятствий на дороге.

Из года в год все больше автомобилей «выходит в онлайн». Весьма оптимистично настроены на данный счет аналитики японской компании Hitachi. По их прогнозу, к 2020 году около 90% всех транспортных средств будут подключены к Интернету. Но «умнея», авто преобразовываются в лакомую мишень для преступников: так как их уязвимость к кибератакам делается выше, а взломана, как мы знаем, возможно каждая «подключенная» к Сети вещь — от дверного замка до яхты либо самолета. «Область, до которой смогут дотянуться хакеры, зависит от того, какие конкретно аспекты автомобиля контролирует интернет-подключение», — говорит Стюар Хайд, занимавший ранее пост начальника полиции графства Камбрии (Англия).

Уязвимый 3G-модуль

Показательную демонстрацию того, как хакеры смогут дистанционно взять под контроль практически все функции транспортного средства, в июле провели специалисты по безопасности Чарли Миллер и Крис Валасек. Они посадили за руль Jeep Cherokee журналиста Wired Энди Гринберга и всячески мешали управлению джипом, в то время, когда тот двигался со скоростью более 110 км/ч по автомагистрали в Сент-Луисе (США). Удаленно подключившись к джипу, Миллер и Валасек имели возможность делать все что угодно: руководить системой климат-контроля и стеклоочистителями, отслеживать скорость и GPS-координаты, переключать радиостанции, включать звук на полную громкость а также резко тормозить.

Взломать за 60 секунд: как хакеры угоняют автомобили

Уникальность способа, отысканного «белыми» хакерами, заключалась в том, что авто необязательно должно быть подключено к Интернету. В уязвимости оказался виноват Uconnect — мультимедийный комплекс, которым оснащаются много тысяч легковых автомобилей, внедорожников и грузовиков Chrysler, — то есть встроенный в него 3G-модуль. «Дыра» в компоненте, который несёт ответственность за сотовое подключение, разрешает любому человеку, опытному IP-адрес автомобиля (а вычислить его не так уж сложно), взять к нему полный доступ из любой точки страны.

По словам специалистов, уязвимости подвержена не только модель Jeep Cherokee, а любой автомобиль Chrysler с Uconnect, выпущенный с конца 2013 по начало 2015 года. Закрыть брешь в системе безопасности возможно лишь вручную, загрузив исправленную прошивку с USB-накопителя. Демонстрация Миллера и Валасека была не настоящей атакой, а контролируемым опытом, не воображавшим водителю никакой угрозы. Однако, потенциальный риск настоящего взлома оказался такими высоким, что в конце прошлого месяца Fiat Chrysler «в качестве меры безопастности» решил отозвать 1,4 миллиона машин для исправления уязвимости (в их числе — пикапы Ram 2015 года выпуска, внедорожники Jeep и Grand Cherokee, спортивные купе Dodge Challenger и суперкары Viper).

Клонирование электронного ключа

Сейчас многие машины оснащаются иммобилайзером — противоугонной системой, которая обездвиживает машину до тех пор, пока не возьмёт сигнал от RFID-брелка. Не обращая внимания на то что отсылаемый им в зашифрованном виде код есть неповторимым, преступники смогут легко подделать беспроводной сигнал при помощи оборудования для перепрограммирования электронных ключей.

Читайте также:  Для смартфонов OnePlus 7 и OnePlus 7 Pro выпустили игровые аксессуары (2 фото)

В большинстве случаев, хакерам необходимо лишь приобрести в Интернете «болванку» брелка (стоит около $30) и взять физический доступ к автомобилю. Они смогут попасть в салон, разбив стекло, подключить устройство к диагностическому порту, который в большинстве случаев находится около пассажирского сиденья либо под «бардачком», и, создав дубликат электронного ключа,запустить двигатель.

Как пишет Bloomberg, в зоне риска находится множество моделей, включая BMW, Mercedes, Audi, Land Rover и Saab, а видеоинструкцию по получению доступа к порту легко обнаружить YouTube. И не смотря на то, что производители неизменно совершенствуют системы безопасности, автовладельцам советуют подстраховаться невысокотехнологичными мерами — к примеру, ставить механический замок на рулевое колесо.

Уязвимости, связанные с RFID-чипом иммобилайзеров, исследователи нашли еще в 2012 году, но обнародованы они были лишь в этом месяце. Задержка разъясняется тем, что наибольшие производители, в частности Volkswagen, в течение последних лет мешали публикации докладов и судились с их авторами, опасаясь кражи своих автомобилей. Запрет был снят совсем сравнительно не так давно, а на конференции USENIX, прошедшей в августе, специалисты в деталях поведали о методах взлома протокола шифрования и аутентификации, который используется в широкого распространенном транспондере Megamos Crypto (его возможно отыскать в «люксовых» марках Audi, Porsche, Bentley и Lamborghini, а также в некоторых моделях Fiat, Honda, Volvo и Maserati).

Помимо этого, на USENIX была продемонстрировала уязвимость, связанная с недорогим OBD2-ключом производства Mobile Devices, которым пользуются страховые компании для диагностики транспортных средств. Подключив такое устройство к бортовому компьютеру Corvette 2013 года выпуска, исследователи взяли контроль над частью функций автомобиля, а также над «дворниками» и тормозами.

Взломать за 60 секунд: как хакеры угоняют автомобили

OBD2-ключ

Команды передавались CAN-шине (внутренней сети, управляющей некоторыми компонентами автомобили) методом намерено составленных СМС-сообщений, каковые отправлялись со смартфона. Действительно, из-за ограничений, накладываемых автоматизированными компьютерными функциями, исследователи смогли включить тормоза лишь в то время, когда Corvette двигался на низкой скорости.

Взлом информационно-развлекательной системы

Взлом Jeep Cherokee, о котором шла обращение выше, случился не без участия «дырявой» мультимедийной системы. Сама неприятность содержится в «воистину довольно глупо открытых дверях» бортового компьютера, который употребляется для навигации и диагностики. По словам Дженса Хинричсена, главного менеджера компании NXP, производящей микрочипы для подключенных к Интернету машин, производителям направляться лучше продумывать архитектуру безопасности, разделяя развлекательные системы, телематику и другие критические функции фаерволлом и шифруя все коммуникации между ними.

«В большинстве случаев сети машин — это как дом, в котором вы имеете возможность вольно перемещаться из одной комнаты в другую. Производители машин должны реализовать систему безопасности так, дабы любая комната запиралась на ключ, а для спецкомнат были предусмотрены спецзамки. В спальне возможно кроме того поставить сейф и сложить в него самые полезные вещи», — говорит Хинричсен.

Последнюю громкую уязвимость, связанную с информационно-развлекательной системой OnStar в машинах Genral Motors, продемонстрировал исследователь Сэми Камкар на конференции DefCon в последних числах Июля. Он создал устройство называющиеся OwnStar, талантливое перехватывать данные, которой обмениваются между собой мобильное приложение RemoteLink и бортовая система автомобили. «Дыра», по словам Камкара, содержится в программе для iOS-устройств, которая не контролирует подобающим образом сертификат для надёжного подключения к серверу OnStar.

Более того, данной же уязвимости подвержены iOS-приложения других производителей, включая BMW Remote, Mercedes-Benz mbrace и Chrysler Uconnect. Хакер, разместив «подслушивающий» гаджет рядом с автомобилем (к примеру, под капотом), может дистанционно отслеживать его перемещения, открывать двери а также запускать двигатель. Камкар уже уведомил концерны о бреши, и дал совет временно не пользоваться их приложениями, пока она не будет устранена.

GPS-спуфинг

Сверхнадежная навигационная система — критически серьёзный элемент самоуправляемых автомобилей, разработку которых ведут а также Google, Toyota, Mercedes-Benz и General Motors. Если не обезопасисть GPS-сигнал, поступающий со спутника на околоземной орбите, хакеры смогут подделать координаты (способ известен как GPS-спуфинг) и сбить автомобиль с начального курса.

«Хактивисты смогут изрядно повеселиться, создав пробки, а террористические группы, быть может, захотят направить машину к месту засады либо с целью похищения человека», — говорит Тим Уотсон, директор Центра кибербезопасности при Уорикском университете (Англия). Такие сценарии — не просто догадки. Ранее исследователям из Техасского университета в Остине (США) удалось передать фальшивые координаты яхте ценой $80 миллионов, направив судно по опасному маршруту.

По словам специалистов, риски возможно снизить, в случае, если объединить GPS с другими способами позиционирования — к примеру, счислением пути либо перекрестной сверкой с сетями Wi-Fi.

Источники: Bloomberg, Wired, ArsTechnica, CNN, TechNewsToday

Источник

    Топ статей, которые будут вам интересны и полезны:
  1. Суд в Лондоне разморозил активы поставщика рыбы для McDonald's в России
  2. Романтический образ Ксении Собчак восхитил интернет-пользователей
  3. Вздувшийся аккумулятор iPhone взорвался прямо в руках у мастера
  4. В Иордании топят боевую технику, чтобы создать музей
  5. Как оформить чек, если у иностранной компании нет ИНН?
  6. Toyota RAV4 и другие популярные авто с самыми надежными, но ненадежными моторами
  7. У Stygian: Reign of the Old Ones появилась сентябрьская дата релиза
  8. Авторы The Dark Pictures: Man of Medan показали, как изменится жизнь тех, кто оформил предварительный заказ

При копировании материалов с нашего ресурса активная ссылка на источник материала обязательна.