Исследователи из университета Вашингтона и университета Калифорнии – Сан Диего протестировали разнообразные компьютерные системы, которыми оборудуются современные автомобили, и пришли к тревожным выводам, что они весьма уязвимы к взлому. Хакеры могут вывести из строя тормоза движущегося транспортного средства, блокировать ключ в зажигании, чтобы предотвратить выключение двигателя, блокировать все двери и заставить двигатель работать быстрее. Менее опасно то, что они могут контролировать радио, печь и кондиционер, или без конца сигналить в клаксон.

Их атаки использовали физический доступ к порту федерально одобренной системы On-Board Diagnostics (OBD-II), обычно расположенный под приборной панелью. Он обеспечивает доступ к другому оборудованию – шине локальной сети контроллеров (CAN), что в свою очередь позволяет контролировать различные электронные устройства, расположенные по всему транспортному средству, с помощью нескольких недостаточных ограничений.

Несмотря на то, что в сети CAN имеется некоторая защита, она была легко разрушена, через комбинацию кода против взлома и прочие технические недоработки. Спецификация  CAN требует  защиты, но она реализована недостаточно, позволяя новому ПО, посредством электронных контрольных устройств, получить доступ к групповому считыванию данных во время движения автомобиля  и позволяет системам низкого уровня безопасности, например климат контроль, атаковать важные системы безопасности например тормоза.

В целях проверки своей теории  исследователи получили полный  доступ к бортовым системам автомобиля, они разработали серию атак против  конкретного транспортного средства, и опробовали многие из них во время движения машины по старой взлетной полосе. Успешные атаки подразделяются от "надоедливых" – включения дворников, радио, печки или кондиционера на полную мощность, до весьма опасных. На практике можно вывести из строя тормоза. Ключ зажигания можно заблокировать в положении, предотвратив выключение двигателя.

Исследователи даже смогли загрузить новое программное обеспечение к различным электронным контрольным устройствам, обеспечив серию сложных режимов работы, которые были запрограммированы. То, что они тестировали, было безопасно – включение стеклоочистителей, когда автомобиль разгонялся до 32км/ч, но возможности были обширными, например, электронные контрольные устройства могут подождать, пока автомобиль разгонится до 128км/ч, после чего вывести из строя тормоза. Хакеры могут запрограммировать возможность перезагрузки и сброса в заводские настройки электронных контрольных устройств, так что они могут удалять поврежденное программное обеспечение из системы, не оставляя следов своей деятельности.

Единственная вещь, которую они не смогли сделать – это управление рулем автомобиля, но это можно осуществить в автомобилях высокого класса с возможностями самопарковки.

Исследование прояснило, что встроенная в автомобили компьютерная система и  технические условия, на которых она реализована, сконструированы без учета требований безопасности. Протокол CAN требует максимальной безопасности, а производители автомобилей и комплектующих плохо выполняют работу по ее обеспечению. Даже, если они выполнят свою работу должным образом, многие атаки все равно были бы успешными.
Недостаточный интерес производителей к сетевой безопасности  в автомобильных сетях не обеспечивает сохранность данных важных систем с компьютерным управлением.

Исследователи воздержались от обнародования названия модели транспортного средства и способов его тестирования, аргументируя это тем, что они не верят в то, что их открытие – специфика только данной модели. Таким образом, специалисты не хотят,  чтобы это была узко ограниченная проблема, так как она должна быть воспринята в промышленных масштабах.

Зависимость от физического доступа, сделанная исследователями, конечно, приуменьшена в границах атак (иначе, что бы могли бы сделать слуги или рассерженные супруги). Но были и плохие новости в этой области: исследователи нашли беспроводной доступ к их автомобилю (как многие, он оборудован Bluetooth и подобными устройствами), который не защищен должным образом и может быть взломан этим же способом.

Образно говоря, хакерское управление автомобилем, где используется данная система доступно после визита на страницу злоумышленника, что весьма банально. Существует опасность, что исследования, подобные этому, могут быть опубликованы в более подробном виде, и это ужасает.

Данная статья была переведена с английского языка специально  для портала DveriZamki.org
Оригинал статьи находится здесь.
При использовании опубликованных материалов ссылка на портал обязательна.


Статью подготовил elden