Video: How to Hack a Car: Phreaked Out (Episode 2) (Oktober 2024)
Car hacking har skabt en masse overskrifter for nylig, selvom der kun har været en dokumenteret hændelse (som var et indvendigt job for fem år siden).
Nu har opmærksomheden vendt sig til eftermarkedet tilsluttede bilenheder, der tilsluttes et køretøjs Onboard Diagnostic Port II, også kendt som OBD-II dongles. Enhederne har eksisteret i flere år og lader ejere af køretøjer, der er produceret efter 1996 med en ODB-II-port, tilføje forbindelse. De tilbydes af virksomheder lige fra store bilforsikringsselskaber til et dusin startups for alt fra overvågning af kørestilarter og brændstoføkonomi til sporing af teenagere, mens de er bag rattet.
Skæring af en Corvette's Brakes
I forkant af en sikkerhedskonference i denne uge afslørede forskere fra University of California i San Diego (UCSD), hvordan de trådløst kunne hacke ind i en OBD-II-dongle, der er tilsluttet en sen model Corvette. De sendte SMS-beskeder til en enhed, der tændte for bilens forrudeviskere og skar bremserne. Mens forskerne bemærkede, at hacking af bremserne kun kunne udføres i lave hastigheder på grund af den måde køretøjet er designet på, tilføjede de, at angrebet let kunne tilpasses næsten ethvert moderne køretøj til at overtage kritiske komponenter såsom styring eller transmission.
"Vi erhvervede nogle af disse, omvendte konstruerede dem, og fandt undervejs, at de havde en hel flok sikkerhedsmangler, " sagde Stefan Savage, en UCSD-computersikkerhedsprofessor, der ledede projektet. Donglerne "giver flere måder at fjerne… kontrollere næsten alt på det køretøj, de var forbundet til, " tilføjede han.
UCSD-forskerne advarede Metromile om donglens sårbarhed i juni, og virksomheden sagde, at den trådløst sendte en sikkerhedspatch til enhederne. ”Vi tog dette meget alvorligt, så snart vi fandt ud af det, ” fortalte Metromile CEO Dan Preston til Wired .
Selv efter Metromile sendte sin sikkerhedsrettelse var tusinder af dongler stadig synlige og stadig hackbare, stort set fordi de blev brugt af det spanske flådestyringsfirma Coordina. I en erklæring fra moderselskabet TomTom Telematics sagde Coordina, at den undersøgte forskernes angreb og fandt, at det kun gælder en ældre version af de dongler, som virksomheden bruger. Det er nu i færd med at udskifte et "begrænset antal" af disse enheder.
Virksomheden bemærkede også, at telefonnummeret, der er tildelt SIM-kort på dets enheder, ikke er offentligt og ikke kan kontaktes via sms, som i UCSD-forskernes angreb. Men forskerne modsatte sig, at selv uden at kende et SIM-korts telefonnummer, er donglerne modtagelige for brute-force-angreb ved at sende en spærring af tekstbeskeder.
Mens de nylige hacks af produktionsbiler har taget måneder at udføre eksternt eller krævet fysisk adgang til køretøjet, har sikkerhedsmæssige sårbarheder ved skyforbundne OBD-II-dongles været kendt i flere måneder og ser ud til at være meget lettere at hacke. Og problemet er ikke begrænset til Mobile Devices-produkter. I januar kunne sikkerhedsforsker Corey Thuen hacke Progressives Snapshot-enhed, mens forskere ved cybersikkerhedsfirmaet Argus fandt sikkerhedsmangler med Zubie OBD-II-enheden.
Forskerne bemærkede, at potentielle hacks ikke er begrænset til den Corvette, der blev brugt i deres test, og at de kunne tænkes at kapre styring eller bremser på næsten ethvert moderne køretøj med en Mobile Devices-dongle, der er tilsluttet sin instrumentbræt. ”Det er ikke kun denne bil, der er sårbar, ” sagde UCSD-forsker Karl Koscher.
Som med tilsluttede biler fra bilproducenter har der endnu ikke været et dokumenteret ondsindet hack af et køretøj med en OBD-II-dongle. Men forskerne mener, at truslen er reel og bemærker, at der, i modsætning til tilslutningsmuligheder i produktionsbiler, ikke er nogen regerings tilsyn med eftermarkedsenheder.
"Vi har en hel masse af disse, der allerede findes der på markedet, " tilføjede Savage. "I betragtning af at vi har set en komplet fjernudnyttelse, og at disse ting ikke reguleres på nogen måde, og deres anvendelse vokser… Jeg synes, det er en retfærdig vurdering, at der vil være problemer andre steder."
”Tænk to gange på, hvad du tilslutter din bil, ” advarede Koscher. "Det er svært for den almindelige forbruger at vide, at deres enhed er pålidelig eller ej, men det er noget, de skal tænke et øjeblik på. Udsætter jeg dette for mere risiko?"
Det er et spørgsmål, forbundne forbrugere har stillet i mange år, og bilister, der vil tilslutte deres bil til skyen via OBD-II-dongle, skal nu også spørge.
