Kunnen hackers uw auto ECHT overnemen?

Advertentie

Zubie is een kleine doos die in het stopcontact kan worden gestoken On-Board Diagnostics (ODBII) poort gevonden in de meeste moderne auto's. Het laat gebruikers zien hoe goed ze rijden en geeft tips om hun kilometers te verlengen met verstandig, zuinig rijden. En tot voor kort Zubie bevatte een ernstig verval in beveiliging die gebruikers kwetsbaar zou kunnen maken voor het op afstand kapen van hun auto.

Het gat - ontdekt door alumni van Unit 8200, het elite cybersecurity-team van de Israeli Defense Force - kan mogelijk zien dat aanvallers op afstand het remmen, sturen en de motor hinderen.

Zubie maakt verbinding met een externe server via een GPRS-verbinding, die wordt gebruikt om verzamelde gegevens naar een centrale server te sturen en om beveiligingsupdates te ontvangen.

De onderzoekers ontdekten dat het apparaat een van de belangrijkste zonden van netwerkbeveiliging beging en niet via een gecodeerde verbinding met de thuisserver communiceerde. Als gevolg hiervan konden ze de centrale server van Zubie vervalsen en een aantal speciaal vervaardigde malware naar het apparaat sturen.

Hieronder vindt u meer informatie over de aanval en u zult blij zijn te horen dat het probleem inmiddels is verholpen. Het roept echter een interessante vraag op. Hoe veilig zijn onze auto's?

Feit scheiden van fictie

Voor velen is autorijden geen overbodige luxe. Het is een noodzaak

En daarbij is het een gevaarlijke noodzaak. De meeste mensen zijn maar al te bekend met de risico's van achter het stuur kruipen. Auto-ongelukken zijn een van de grootste moordenaars ter wereld, met alleen al in 2010 1,24 miljoen levens op de weg.

Maar het aantal verkeersdoden neemt af, en dat komt grotendeels door de toegenomen penetratie van geavanceerde verkeersveiligheidstechnologieën. Er zijn er veel te veel om volledig op te sommen, maar misschien wel het meest voorkomende voorbeeld OnStar, verkrijgbaar in de VS, Canada en China.

De technologie - exclusief beschikbaar in GM-auto's, evenals andere voertuigen van bedrijven die ervoor hebben gekozen om de technologie in licentie te geven - bewaakt de gezondheid van uw auto. Het kan stapsgewijze aanwijzingen geven en kan automatisch hulp bieden als u zich in een ongeluk bevindt.

Bijna zes miljoen mensen nemen een abonnement op OnStar. Talloze anderen gebruiken een telematicasysteem waarmee verzekeraars kunnen volgen hoe goed auto's rijden en verzekeringspakketten kunnen afstemmen om verstandige chauffeurs te belonen. Justin Dennis heeft onlangs iets dergelijks besproken, genaamd Metronoom door Metromile Volg uw kilometers, brandstofkosten en meer met een gratis OBD2-apparaatTegenwoordig lijkt alles slim - behalve onze auto's. Dit gratis ODB2-apparaat en deze app veranderen dat. Lees verder , die gratis beschikbaar is voor inwoners van Washington, Oregon, Californië en Illinois. Ondertussen kunnen veel auto's na 1998 worden ondervraagd en gecontroleerd via de ODBII-diagnosepoort dankzij Android Hoe u de prestaties van uw auto kunt volgen met AndroidHet controleren van tonnen informatie over uw auto is ongelooflijk eenvoudig en goedkoop met uw Android-apparaat - lees hier meer! Lees verder en iOS-smartphone-apps.

Aangezien deze technologieën alomtegenwoordig zijn geworden, heeft ook het besef dat deze kunnen worden gehackt. Nergens anders is dat duidelijker dan in onze culturele psyche.

De Thriller van 2008 Untraceable prominent aanwezig was een met OnStar uitgeruste auto die werd 'gemetseld' door de antagonist van de film om iemand in een val te lokken. In 2009 lanceerde het Nederlandse IT-bedrijf InfoSupport een reeks commercials met een fictieve hacker genaamd Max Cornellise hackte op afstand autosystemen, waaronder een Porsche 911, met alleen die van hem laptop.

Dus met zoveel onzekerheid over het probleem, is het belangrijk om te weten wat er kan worden gedaan en welke bedreigingen er nog zijn op het gebied van sciencefiction.

Een korte geschiedenis van autohacken?

Buiten Hollywood hebben beveiligingsonderzoekers een aantal behoorlijk enge dingen met auto's bereikt.

In 2013, Charlie Miller en Chris Valasek demonstreerde een aanval waar ze een compromis hebben gesloten een Ford Escape en Toyota Prius en slaagden erin om de controle over te nemen de rem- en stuurvoorzieningen. Deze aanval had echter één groot nadeel, aangezien deze afhankelijk was van het aansluiten van een laptop op het voertuig. Dit maakte beveiligingsonderzoekers nieuwsgierig en vroegen zich af of het mogelijk was om hetzelfde te bereiken, maar zonder fysiek aan de auto vast te zitten.

Die vraag werd een jaar later definitief beantwoord, toen Miller en Valasek een nog gedetailleerder onderzoek deden naar de beveiliging van 24 verschillende automodellen. Deze keer concentreerden ze zich op de capaciteit van een aanvaller om een ​​aanval op afstand uit te voeren. Hun uitgebreide onderzoek leverde een rapport van 93 pagina's op gepubliceerd op Scribd om samen te vallen met hun vervolggesprek op de Blackhat-beveiligingsconferentie in Las Vegas.

Het suggereerde dat onze auto's niet zo veilig zijn als ooit werd gedacht, en dat veel auto's niet de meest rudimentaire cyberbeveiligingen hadden. Het vernietigende rapport benadrukte dat de Cadillac Escalade, Jeep Cherokee en de Infiniti Q50 het meest kwetsbaar waren voor een aanval op afstand.

Als we kijken naar de Infinity Q10 specifiek, zien we enkele grote hiaten in de beveiliging.

Wat de Infiniti zo aantrekkelijk maakt als auto, maakt hem ook zo kwetsbaar. Zoals veel high-end auto's die de afgelopen jaren zijn geproduceerd, wordt hij geleverd met een hele reeks technologische kenmerken die zijn ontworpen om de rijervaring aangenamer te maken. Deze variëren van keyless unlocking, tot draadloze bandenspanningscontrole, tot een ‘personal assistant’ smartphone-app die een interface heeft met de auto.

Volgens Miller en Vlasek zijn sommige van deze technologische kenmerken niet geïsoleerd, maar zijn ze rechtstreeks verbonden met de systemen die verantwoordelijk zijn voor motorregeling en remmen. Dit laat de mogelijkheid open dat een aanvaller toegang krijgt tot het interne netwerk van de auto, en dan misbruik te maken van een kwetsbaarheid in een van de essentiële systemen om te crashen of de voertuig.

Zaken als keyless unlocking en 'personal assistants' worden al snel als essentieel beschouwd voor chauffeurs, maar zoals Charlie Miller zo saillant opmerkte: "het is een beetje eng dat ze allemaal met elkaar kunnen praten andere. '

Maar we zijn nog steeds erg in de wereld van de theoretische. Miller en Vlasek hebben een mogelijke weg voor een aanval aangetoond, maar geen daadwerkelijke aanval. Zijn er voorbeelden van iemand die er daadwerkelijk in is geslaagd de computersystemen van een auto te verstoren?

Welnu, er is geen tekort aan aanvallen die gericht zijn op sleutelloze ontgrendelingsfuncties. Er werd er zelfs een gedemonstreerd eerder dit jaar op de Blackhat Security Conference in Las Vegas door de Australische veiligheidsonderzoeker Silvio Cesare.

Met slechts $ 1000 aan standaardgereedschappen kon hij het signaal van een sleutelhanger vervalsen, waardoor hij op afstand een auto kon ontgrendelen. De aanval is gebaseerd op het feit dat iemand fysiek aanwezig is in de buurt van de auto, mogelijk een paar uur, als een computer en een radio-antenne zendt probeert de ontvanger in de sleutelloze ontgrendeling van een auto bruut te forceren systeem.

Als de auto eenmaal is geopend, kan de aanvaller mogelijk proberen hem te stelen of zichzelf te helpen met onbeheerde voorwerpen die door de bestuurder zijn achtergelaten. Er is hier veel potentieel voor schade.

Zijn er verdedigingen?

Dat hangt ervan af.

Er is al een vorm van bescherming tegen de kwetsbaarheid voor externe toegang die Charlie Miller en Chris Valasek hebben ontdekt. In de maanden sinds hun Blackhat-gesprek hebben ze dat gedaan hebben kunnen bouwen een apparaat werkt als een inbraakdetectiesysteem (IDS). Dit stopt een aanval niet, maar geeft eerder aan de bestuurder aan wanneer er een aanval bezig is. Dit kost ongeveer $ 150 aan onderdelen en vereist een beetje kennis van elektronica om te bouwen.

De kwetsbaarheid van Zubie is een beetje lastiger. Hoewel het gat sindsdien is gepatcht, lag de zwakte niet in de auto, maar in het apparaat van derden dat eraan was bevestigd. Hoewel auto's hun eigen architectonische onzekerheden hebben, lijkt het erop dat het toevoegen van extra's de potentiële mogelijkheden voor een aanval alleen maar vergroot.

Misschien de enige manier om dat te zijn werkelijk veilig is om een ​​oude auto te besturen. Een die de zeer verfijnde toeters en bellen van moderne, high-end auto's mist en de drang weerstaat om dingen in je ODBII-poort te schuiven. Er is veiligheid in eenvoud.

Is het veilig om met mijn auto te rijden?

Beveiliging is een evolutionair proces.

Naarmate mensen een beter begrip krijgen van de bedreigingen rond een systeem, evolueert het systeem om ertegen te beschermen. Maar de autowereld heeft het niet helemaal gehad ShellShock Erger dan Heartbleed? Maak kennis met ShellShock: een nieuwe beveiligingsdreiging voor OS X en Linux Lees verder of HeartBleed Heartbleed - Wat kunt u doen om veilig te blijven? Lees verder . Ik stel me voor dat wanneer het zijn eerste kritieke bedreiging ervaart - het is de eerste nul dag, als je wilt - autofabrikanten zullen gepast reageren en stappen ondernemen om de beveiliging van voertuigen net dat beetje meer te maken streng.

Maar wat denk jij? Is dat een beetje optimistisch? Ben je bang dat hackers je auto overnemen? Ik wil erover horen. Stuur me een reactie hieronder.

Fotocredits: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com