Gli hacker possono davvero assumere la tua auto?

Annuncio pubblicitario

Zubie è una piccola scatola che si collega al Diagnostica di bordo (ODBII) porto trovato nella maggior parte delle auto moderne. Consente agli utenti di scoprire quanto bene guidano e offre suggerimenti per estendere il chilometraggio con una guida ragionevole ed economica. E fino a poco tempo fa, Zubie conteneva un grave declino in sicurezza che potrebbe rendere gli utenti vulnerabili al dirottamento remoto della propria auto.

Il buco - scoperto dagli ex-alunni dell'Unità 8200, il team di sicurezza informatica d'élite della Forza di difesa israeliana - potrebbe potenzialmente vedere gli attaccanti da remoto interferire con frenata, sterzata e motore.

Zubie si connette a un server remoto tramite una connessione GPRS, che viene utilizzata per inviare i dati raccolti a un server centrale, nonché per ricevere aggiornamenti di sicurezza.

I ricercatori hanno scoperto che il dispositivo stava commettendo uno dei peccati cardinali della sicurezza della rete e non stava comunicando al server di casa tramite una connessione crittografata. Di conseguenza, sono stati in grado di falsificare il server centrale Zubie e inviare alcuni malware appositamente predisposti al dispositivo.

Ulteriori dettagli sull'attacco sono riportati di seguito e sarai lieto di sapere che il problema è stato risolto. Tuttavia, solleva una domanda interessante. Quanto sono sicure le nostre auto?

Separare il fatto dalla finzione

Per molti, guidare non è un lusso. È una necessità

Ed è una necessità pericolosa a questo. La maggior parte delle persone conosce fin troppo bene i rischi associati al mettersi al volante. Gli incidenti stradali sono uno dei più grandi assassini del mondo, con 1,24 milioni di vite perse sulla strada solo nel 2010.

Ma i decessi su strada stanno diminuendo, e ciò è in gran parte dovuto alla maggiore penetrazione di sofisticate tecnologie di sicurezza stradale. Ce ne sono troppi per elencarli in modo esauriente, ma forse l'esempio più diffuso è OnStar, disponibile negli Stati Uniti, in Canada e in Cina.

La tecnologia, disponibile esclusivamente nelle auto GM, nonché in altri veicoli di aziende che hanno scelto di concedere in licenza la tecnologia, monitora la salute della tua auto. Può fornire indicazioni dettagliate e può fornire automaticamente assistenza in caso di incidente.

Quasi sei milioni di persone si abbonano a OnStar. Innumerevoli altri utilizzano un sistema telematico, che consente agli assicuratori di monitorare il modo in cui le auto sono guidate e personalizzare i pacchetti assicurativi per premiare i conducenti sensibili. Justin Dennis ha recentemente recensito qualcosa di simile chiamato Metronomo di Metromile Traccia il tuo chilometraggio, i costi del carburante e altro con un dispositivo OBD2 gratuitoAl giorno d'oggi, tutto sembra essere intelligente, tranne le nostre macchine. Questo dispositivo e app ODB2 gratuiti lo cambiano. Leggi di più , che è disponibile gratuitamente per i residenti di Washington, Oregon, California e Illinois. Nel frattempo, molte auto dopo il 1998 possono essere interrogate e monitorate tramite Porta diagnostica ODBII grazie ad Android Come monitorare le prestazioni della tua auto con AndroidMonitorare tonnellate di informazioni sulla tua auto è incredibilmente facile ed economico con il tuo dispositivo Android: scopri qui! Leggi di più e app per smartphone iOS.

Poiché queste tecnologie hanno raggiunto l'ubiquità, anche la consapevolezza che queste possono essere hackerate. In nessun altro luogo è più evidente che nella nostra psiche culturale.

Il Thriller 2008 irrintracciabile in primo piano un'auto equipaggiata con OnStar viene "murata" dall'antagonista del film per attirare qualcuno in trappola. Mentre nel 2009, l'azienda informatica olandese InfoSupport ha lanciato una serie di spot pubblicitari che mostrano un hacker fittizio chiamò Max Cornellise da remoto hackerando sistemi automobilistici, inclusa una Porsche 911, usando solo il suo il computer portatile.

Quindi, con così tanta incertezza sulla questione, è importante sapere cosa si può fare e quali minacce rimangono nel campo della fantascienza.

Una breve storia di auto hacking?

Al di fuori di Hollywood, i ricercatori della sicurezza hanno realizzato alcune cose piuttosto spaventose con le auto.

Nel 2013, Charlie Miller e Chris Valasek ha dimostrato un attacco dove hanno compromesso una Ford Escape e una Toyota Prius e riuscì a prendere il controllo di le strutture di frenata e sterzo. Tuttavia, questo attacco ha avuto un grosso svantaggio, poiché dipendeva dal fatto che un laptop fosse collegato al veicolo. Ciò ha lasciato i ricercatori della sicurezza curiosi e chiedendosi se fosse possibile realizzare la stessa cosa, ma senza essere fisicamente legati all'auto.

Alla domanda fu data una risposta definitiva un anno dopo, quando Miller e Valasek condussero uno studio ancora più dettagliato sulla sicurezza di 24 diversi modelli di auto. Questa volta, si stavano concentrando sulla capacità di un attaccante di condurre un attacco remoto. La loro vasta ricerca ha prodotto un rapporto di 93 pagine, che era pubblicato su Scribd in coincidenza con il loro discorso di follow-up alla conferenza sulla sicurezza di Blackhat a Las Vegas.

Ha suggerito che le nostre auto non sono sicure come si pensava, con molte che mancano delle protezioni di sicurezza informatica più rudimentali. Il dannato rapporto ha messo in evidenza la Cadillac Escalade, la Jeep Cherokee e la Infiniti Q50 come le più vulnerabili a un attacco remoto.

Quando guardiamo l'Infinity Q10 specificamente, vediamo alcuni importanti cali della sicurezza.

Ciò che rende Infiniti così avvincente come un'auto è anche ciò che lo rende così vulnerabile. Come molte auto di fascia alta prodotte negli ultimi anni, viene fornito con una serie di caratteristiche tecnologiche progettate per rendere l'esperienza di guida più piacevole. Questi vanno dallo sblocco senza chiave, al monitoraggio wireless della pressione dei pneumatici, a un'app per smartphone "assistente personale" che si interfaccia con l'auto.

Secondo Miller e Vlasek, alcune di queste caratteristiche tecnologiche non sono isolate, ma piuttosto sono direttamente collegate in rete con i sistemi responsabili del controllo e della frenata del motore. Ciò lascia aperta la possibilità che un utente malintenzionato possa accedere alla rete interna dell'auto e, quindi, sfruttando una vulnerabilità presente in uno dei sistemi essenziali per bloccarsi o interferire con veicolo.

Cose come lo sblocco senza chiave e gli "assistenti personali" vengono rapidamente considerati elementi essenziali per piloti, ma come ha sottolineato Charlie Miller in modo così saliente, "è un po 'spaventoso che possano parlare tutti con ciascuno altro."

Ma siamo ancora molto nel mondo del teorico. Miller e Vlasek hanno dimostrato una potenziale strada per un attacco, ma non un attacco reale. Ci sono esempi di qualcuno che è effettivamente riuscito a interferire con i sistemi informatici di un'auto?

Bene, non mancano gli attacchi che prendono di mira le funzioni di sblocco senza chiave. Uno è stato persino dimostrato all'inizio di quest'anno alla Blackhat Security Conference di Las Vegas del ricercatore di sicurezza australiano Silvio Cesare.

Usando solo $ 1000 di strumenti standardizzati, è stato in grado di falsificare il segnale da un telecomando, permettendogli di sbloccare a distanza un'auto. L'attacco si basa sul fatto che qualcuno sia fisicamente presente vicino all'auto, potenzialmente per alcune ore, come a un computer e un'antenna radio trasmette tenta di forzare il ricevitore incorporato nello sblocco senza chiave di un'auto sistema.

Una volta che l'auto è stata aperta, l'attaccante potrebbe potenzialmente tentare di rubarla o aiutare se stesso a qualsiasi oggetto incustodito lasciato dal guidatore. C'è un grande potenziale di danno qui.

Ci sono delle difese?

Dipende.

Esiste già una forma di protezione contro la vulnerabilità dell'accesso remoto scoperta da Charlie Miller e Chris Valasek. Nei mesi successivi al loro discorso sui Blackhat, lo hanno fatto stato in grado di costruire un dispositivo funge da sistema di rilevamento delle intrusioni (IDS). Questo non ferma un attacco, ma indica al guidatore quando potrebbe essere in corso un attacco. Questo costa circa $ 150 in parti e richiede un po 'di know-how elettronico per costruire.

La vulnerabilità di Zubie è un po 'più complicata. Sebbene da allora il buco sia stato rattoppato, la debolezza non risiedeva nell'auto, ma piuttosto nel dispositivo di terze parti ad esso collegato. Mentre le auto hanno le loro insicurezze architettoniche, sembra che l'aggiunta di ulteriori extra aumenti solo le potenziali strade per un attacco.

Forse l'unico modo per essere veramente sicuro è guidare una vecchia macchina. Uno che manca delle sofisticate campane e fischietti delle auto moderne e di fascia alta e di resistere all'impulso di spingere le cose nella tua porta ODBII. C'è sicurezza nella semplicità.

È sicuro guidare la mia auto?

La sicurezza è un processo evolutivo.

Man mano che le persone acquisiscono una maggiore comprensione delle minacce che circondano un sistema, il sistema si evolve per proteggersi da esse. Ma il mondo delle auto non ha ancora avuto il suo ShellShock Peggio di cuore? Scopri ShellShock: una nuova minaccia alla sicurezza per OS X e Linux Leggi di più o heartbleed Heartbleed - Cosa puoi fare per stare al sicuro? Leggi di più . Immagino che quando ha la sua prima minaccia critica - è il primo giorno zero, se vuoi - le case automobilistiche risponderanno in modo appropriato e adotteranno misure per aumentare ulteriormente la sicurezza dei veicoli rigoroso.

Ma tu cosa ne pensi È un po 'ottimista? Sei preoccupato per gli hacker che prendono il controllo della tua auto? Ne voglio sapere. Mandami un commento qui sotto.

Crediti fotografici: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com