Ekstern hacking er nu en realitet | doug newcomb

Indtil nu blev der kun udført demoer med bilhakker, mens sikkerhedsforskere var fast kablet ind i et køretøjs elektriske system. Der var kun en dokumenteret sag i den virkelige verden af ​​hacking med ekstern bil i 2010, men det var et indvendigt job af en utilfredse medarbejder i en bilforhandler, der murede over 100 køretøjer ved at drage fordel af teknologi designet til at muliggøre fjernadtagelse.

Men tidligere i denne uge viste to sikkerhedsforskere, der har udsat for tilknyttede bilsårbarheder noget for et korstog på dramatisk og noget farlig måde, hvordan de var i stand til eksternt at deaktivere kritiske systemer i en Jeep Cherokee fra 2014, mens køretøjet lå på en St. Louis-motorvej. Charlie Miller, en sikkerhedsforsker på Twitter, og Chris Valasek, direktør for køretøjssikkerhedsundersøgelser hos IOActive, skabte overskrifter for to år siden ved at vise, hvordan de kunne hulke hornet, snyde sikkerhedsselerne, dræbe bremserne og kontrollere rattet på en Ford Escape og Toyota Prius fra bagsædet ved hjælp af bærbare computere og en fysisk forbindelse til køretøjer.

Deres opfølgning, endnu engang med forfatter Andy Greenberg ved rattet, var beregnet til at skræmme bilselskaber og bilejere ved at bevise, at køretøjer eksternt kan blive hacket for at forårsage ødelæggelse på motorvejen. Mens de sad i Miller's kældermile væk, brugte parret en sikkerhedssårbarhed i køretøjets Uconnect-infotainment-system til at sprænge vekselstrømmen, stille ind på en hip-hop radiostation og skrue stereosystemet, tænde forruden visker og skive og placere en snarky billede på in-dash-visningen af ​​sig selv i matchende banedrakter.

For at køre hjem deres punkt om sårbarhederne i moderne tilsluttede biler deaktiverede de transmissionen, hvilket fik Jeep til at miste accelerationen på motorvejen med en semi pejling ned på den. Senere, på en parkeringsplads, deaktiverede de også jeepens bremser, hvilket fik den til at glide ned i en grøft med Greenberg ved rattet.

At skræmme bilproducenter til handling

Hvis du læser dette skræmmer dig, er det netop pointen med parets udnyttelser. Mere specifikt håber de at skræmme offentligheden og på sin side skubbe bilproducenter til handling mod cybersikkerhed. Deres seneste reklamestunt er et forgrund til at præsentere deres eksterne hacking-forskning på Black Hat-sikkerhedskonferencen i Las Vegas næste måned, uden at afsløre detaljerne for ondsindede hackere. Miller og Valasek underrettede også Fiat Chrysler Automobiles for måneder siden, så bilproducenten kunne udstede en patch til alle berørte Uconnect-systemer - så mange som 471.000 Chrysler-, Dodge-, Jeep- og Ram-køretøjer, der er udstyret med 8, 4-tommer U-Connect-berøringsskærmsystem.

Miller og Valasek hævede indsatsen og gik fjernt i deres bil-hacking arbejde, som er finansieret af et forsvars Advanced Research Projects Agency (DARPA) tilskud, fordi deres demonstration for to år siden "ikke havde indflydelse med de producenter, som vi ønskede, "Fortalte Miller Wired . Mange mennesker, der er involveret i bilindustrien (inklusive din virkelig), stillede spørgsmålstegn ved, om et eksternt bilhack kunne udføres med succes, og nu har Miller og Valasek fjernet enhver tvivl.

Miller og Valaseks nylige arbejde er ikke det eneste tilfælde af ekstern hacking af biler. I denne uge fandt forskere i England en vej ind i en bils elektronik gennem Digital Audio Broadcasting (DAB) radiofunktion, der ofte bruges i Europa og Asien, og som kan give en hacker mulighed for at sende ondsindet kode for at overtage et infotainment-system. BBC rapporterede, at "en angriberen kunne bruge det som en måde at kontrollere mere kritiske systemer, herunder styring og bremsning." Og i februar fandt det tyske ækvivalent med Auto Club en sikkerhedsfejl i nogle BMW-køretøjer, der kunne give hackere mulighed for eksternt at låse op for dørene, og BMW sendte straks en over-the-air (OTA) softwareopdatering for at løse sårbarheden.

Modforanstaltninger som OTA-opdateringer bliver mere almindelige, som Tesla har vist, og bilproducenter har forsøgt at ligge foran bil-hacking-truslen ved at ansætte dedikerede sikkerhedseksperter. Industrigrupper dannede også for nylig et nyt konsortium kaldet Auto Information Sharing Advisory Center (ISAC) til bekæmpelse af cybertrusler.

Der er i øjeblikket ikke meget incitament for hackere til at målrette biler, ud over at trække ondsindede præk. "I betragtning af de fleste hackers motivation er chancen for meget lav, " observerede Damon McCoy, en lektor i datalogi ved George Mason University og en bilsikkerhedsforsker. Og Valasek sagde "det kræver en masse tid dygtighed og penge" at trække det, han og Miller udførte.

Truslen om hacking af biler er blevet sammenlignet med det voksende internet for 20 år siden, da computere først begyndte at blive tilsluttet og Black Hats begyndte at afsløre og udnytte sårbarheder. Virksomheder som Microsoft blev på sin side tvunget til at gå på defensiven og udstede sikkerhedspatch og endda belønne nørder, der afslørede en sårbarhed med "bugbelønninger."

Men det er ikke 1995, og hackere er mere rigelige og mere sofistikerede, og der kunne være flere tilsluttede biler på vejen nu, hvor de blev tilsluttet computere for to årtier siden. Den seneste runde af hacking med bil hæver indsatsen betydeligt. "Det er hvad alle, der tænker på bilsikkerhed, har bekymret sig i årevis, " sagde Miller. "Dette er en realitet."