Kan hackare verkligen ta över din bil?

Kan hackare verkligen ta över din bil? / säkerhet

Zubie är en liten låda som pluggar in i porten Diagnostics (ODBII) som finns i de flesta moderna bilar. Det gör det möjligt för användarna att ta reda på hur bra de kör och erbjuda tips för att öka körsträckan med förnuftig och ekonomisk körning. Och tills förra året innehöll Zubie ett allvarligt förfall i säkerhet som kunde lämna användarna sårbara för att ha bilen kört av sig.

Hålet - som upptäckts av alumner i Unit 8200, Israels försvarskrets elit-cybersäkerhetslag - kan potentiellt se att angripare fjärrstörmer broms, styrning och motor.

Zubie ansluter till en fjärrserver via en GPRS-anslutning, som används för att skicka samlad data till en central server samt för att få säkerhetsuppdateringar.

Forskarna upptäckte att enheten begicks en av de kardinala synderna för nätverkssäkerhet och inte kommunicerar med hemmeservern via en krypterad anslutning. Som ett resultat kunde de spoofa Zubies centrala server och skicka några speciellt utformade skadliga program till enheten.

Ytterligare detaljer om attacken finns nedan, och du kommer gärna att veta att frågan sedan dess har fastställts. Det väcker dock en intressant fråga. Hur säkra är våra bilar?

Separera fakta från fiktion

För många är körning inte en lyx. Det är en nödvändighet

Och det är en farlig nödvändighet i det. De flesta människor är alltför bekanta med riskerna med att komma bakom ratten. Bilolyckor är världens största mördare, med 1,24 miljoner liv förlorade på vägen år 2010.

Men dödsfallet minskar och det beror till stor del på ökad penetration av sofistikerad trafiksäkerhetsteknik. Det finns alltför många av dessa för att lista fullständigt, men kanske det mest framträdande exemplet är OnStar, tillgängligt i USA, Kanada och Kina.

Tekniken - tillgänglig uteslutande i GM-bilar, liksom andra fordon från företag som valt att licensiera tekniken - övervakar din bils hälsa. Det kan ge vägbeskrivning, och kan automatiskt göra hjälp om du befinner dig i en olycka.

Nästan sex miljoner människor prenumererar på Onstar. Otaligt fler använder ett telematiksystem, vilket gör det möjligt för försäkringsbolagen att spåra hur väl bilar drivs och skräddarsy försäkringspaket för att belöna förnuftiga förare. Justin Dennis recenserade nyligen något liknande som kallas Metronome med Metromile Spåra din körsträcka, bränslekostnader och mer med en fri OBD2-enhet Spåra din körsträcka, bränslekostnader och mer med en fri OBD2-enhet Idag verkar allt vara smart - förutom våra bilar. Den här gratis ODB2-enheten och appen ändrar det. Läs mer, som är fritt tillgängligt för invånare i Washington, Oregon, Kalifornien och Illinois. Under tiden kan många bilar efter 1998 bli utfrågad och övervakad via ODBII-diagnostikporten tack vare Android. Så här övervakar du bilens prestanda med Android. Hur man övervakar bilens prestanda med Android Monitoring. Mängder information om din bil är otroligt enkelt och billigt med din Android enhet - läs om det här! Läs mer och iOS smartphone-appar.

Eftersom dessa tekniker har nått allestädes närvarande, så har en medvetenhet om att dessa kan hackas. Ingen annanstans är det tydligare än i vår kulturella psyke.

2008-spelen Untraceable presenterade framträdande en OnStar-utrustad bil som "bricked" av filmens antagonist för att locka någon till en fälla. Under 2009 lanserade den nederländska IT-firmaet InfoSupport en serie reklamfilmer som visade en fiktiv hacker kallad Max Cornellise på distanshack i bilsystem, inklusive en Porsche 911, som bara använde sin bärbara dator.

Så, med så mycket osäkerhet kring frågan är det viktigt att veta vad som kan göras, och vilka hot kvarstår inom området science fiction.

En kort historia av bilhackning?

Utanför Hollywood har säkerhetsforskare åstadkommit några ganska skrämmande saker med bilar.

År 2013 demonstrerade Charlie Miller och Chris Valasek en attack där de äventyrade en Ford Escape och Toyota Prius och lyckades ta kontroll över broms- och styranläggningarna. Dock hade denna attack en stor nackdel, eftersom det var beroende av att en bärbar dator var ansluten till fordonet. Detta vände säkerhetsforskare nyfiken och undrade om det var möjligt att uppnå samma sak, men utan att vara fysiskt bundna till bilen.

Den frågan besvarades slutgiltigt ett år senare, när Miller och Valasek genomförde en ännu mer detaljerad studie om säkerheten hos 24 olika modeller av bilar. Den här gången fokuserade de på kapaciteten för en angripare att genomföra en fjärrattack. Deras omfattande forskning producerade en 93 sidrapport, som publicerades på Scribd för att sammanfalla med deras uppföljningssamtal vid Blackhats säkerhetskonferens i Las Vegas.

Det föreslog att våra bilar inte är så säkra som en gång trodde, med många saknade de mest rudimentära säkerhetsskyddet. Den fördömande rapporten betonade Cadillac Escalade, Jeep Cherokee och Infiniti Q50 som mest utsatta för en fjärrattack.

När vi tittar på Infinity Q10 specifikt ser vi några stora säkerhetsförlopp.

Vad som gör Infiniti så övertygande som en bil är också det som gör det så sårbart. Precis som många avancerade bilar som producerats de senaste åren, levereras det med en mängd tekniska funktioner som gör att körupplevelsen blir roligare. Dessa spänner från nyckelfärdig upplåsning, till trådlös däcktrycksövervakning, till en "personlig assistent" smartphone app som gränsar till bilen.

Enligt Miller och Vlasek är några av dessa tekniska egenskaper inte isolerade, utan är direkt kopplade till de system som ansvarar för motorstyrning och bromsning. Detta låter öppna möjligheten för en angripare att få tillgång till bilens interna nätverk och sedan utnyttja en sårbarhet i ett av de väsentliga systemen för att krascha eller störa fordonet.

Saker som nyckelfärdig upplåsning och "personliga assistenter" betraktas snabbt som nödvändiga för förare, men som Charlie Miller så tydligt påpekade, “Det är lite skrämmande att de alla kan prata med varandra.”

Men vi är fortfarande väldigt mycket i den teoretiska världen. Miller och Vlasek har visat en potentiell aveny för en attack, men inte en faktisk attack. Finns det några exempel på att någon faktiskt lyckats störa bilens datorsystem?

Tja, det finns ingen brist på attacker som är inriktade på nyckellösa upplåsningsfunktioner. Man demonstrerades även tidigare i år på Blackhat Security Conference i Las Vegas av australiensisk säkerhetsforskare Silvio Cesare.

Med hjälp av bara $ 1000 värda verktyg utan hylla, kunde han spoofa signalen från en nyckel-fob, så att han kunde låsa upp en bil på ett avlägset sätt. Anfallet är beroende av att någon är fysiskt närvarande i närheten av bilen, eventuellt i några timmar, då en dator och en radioantennsändare försöker att brute-tvinga mottagaren inbyggd i en bils nyckellösa upplåsningssystem.

När bilen har öppnats kan angriparen då potentiellt försöka stjäla den eller hjälpa sig med oövervakade föremål som föraren efterlämnar. Det finns mycket risk för skada här.

Finns det några försvar?

Det beror på.

Det finns redan någon form av skydd mot sårbarheten för fjärråtkomst som upptäckts av Charlie Miller och Chris Valasek. Under månaderna sedan Blackhat-pratningen har de kunnat konstruera en enhet fungerar som ett intrångsdetekteringssystem (IDS). Detta hindrar inte en attack, men indikerar snarare föraren när en attack kan pågå. Det kostar ungefär 150 dollar i delar, och kräver lite elektronikkunnighet att bygga.

Zubies sårbarhet är lite svårare. Även om hålet sedan har blivit patchat låg inte svagheten i bilen, utan snarare inom den tredje parten som fästes på den. Även om bilar har sina egna arkitektoniska osäkerheter verkar det som att lägga till extra extras bara ökar de potentiella vägarna för ett angrepp.

Kanske det enda sättet att vara verkligt säker är att köra en gammal bil. En som saknar de mycket sofistikerade bells-and-whistlesna i moderna, avancerade bilar, och att motstå strävan att flytta saker i din ODBII-port. Det finns säkerhet i enkelhet.

Är det säkert att köra min bil?

Säkerhet är en evolutionär process.

Eftersom människor får en större förståelse av hoten kring ett system, utvecklas systemet för att skydda mot dem. Men bilvärlden har inte riktigt haft sin ShellShock Worse Than Heartbleed? Träffa ShellShock: En ny säkerhetsrisk för OS X och Linux är värre än Heartbleed? Möt ShellShock: En ny säkerhetsrisk för OS X och Linux Läs mer eller HeartBleed Heartbleed - Vad kan du göra för att vara säker? Heartbleed - Vad kan du göra för att vara säker? Läs mer . Jag föreställer mig att när det har upplevt sitt första kritiska hot - det är första nolldagen om du vill - biltillverkarna svarar på lämpligt sätt och vidtar åtgärder för att göra fordonssäkerheten lite mer stringent.

Men vad tycker du? Är det lite optimistiskt? Är du orolig för att hackare tar över din bil? Jag vill höra om det. Släpp mig en kommentar nedan.

Fotokrediter: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com

Utforska mer om: OBD-II.