Kan hackare verkligen ta över din bil?

Annons

Zubie är en liten låda som ansluts till Diagnostik ombord (ODBII) port finns i de flesta moderna bilar. Det gör det möjligt för användare att ta reda på hur väl de kör och erbjuder tips för att utöka sin körsträcka med förnuftig, ekonomisk körning. Och tills nyligen Zubie innehöll ett allvarligt förfaller i säkerhet som kan lämna användare sårbara för att deras bil kan fjärrkapas.

Hålet - upptäckt av alumner från Unit 8200, den israeliska försvarsmaktens elit inom cybersäkerhet - kunde potentiellt se angripare på distans störa bromsning, styrning och motorn.

Zubie ansluter till en fjärrserver via en GPRS-anslutning, som används för att skicka insamlade data till en central server samt för att ta emot säkerhetsuppdateringar.

Forskarna upptäckte att enheten begick en av de kardinala synderna för nätverkssäkerhet och inte kommunicerade till hemservern via en krypterad anslutning. Som ett resultat kunde de förfalska Zubie central-servern och skicka några speciellt utformade skadliga program till enheten.

Mer information om attacken finns nedan, och du kommer att glädja dig att problemet sedan dess har åtgärdats. Det väcker emellertid en intressant fråga. Hur säkra är våra bilar?

Separera fakta från fiktion

För många är körning inte en lyx. Det är en nödvändighet

Och det är en farlig nödvändighet vid det. De flesta människor är alltför bekanta med riskerna för att komma bakom ratten. Bilolyckor är en av världens största mördare, med 1,24 miljoner liv förlorade på vägen bara år 2010.

Men trafikdödsfallen minskar, och det beror till stor del på den ökade penetrationen av sofistikerade trafiksäkerhetstekniker. Det finns alldeles för många av dessa för att heltäcka listan, men kanske är det vanligaste exemplet OnStar, tillgängligt i USA, Kanada och Kina.

Tekniken - exklusivt tillgänglig i GM-bilar, liksom andra fordon från företag som har valt att licensera tekniken - övervakar din bils hälsa. Det kan ge vägvisningar och kan automatiskt ge hjälp om du befinner dig i en olycka.

Nästan sex miljoner människor prenumererar på OnStar. Otaliga fler använder ett telematiksystem, som gör att försäkringsgivare kan spåra hur väl bilar körs och skräddarsy försäkringspaket för att belöna förnuftiga förare. Justin Dennis granskade nyligen något liknande kallat Metronome av Metromile Spåra din körsträcka, bränslekostnader och mer med en gratis OBD2-enhetNuförtiden verkar allt vara smart - förutom våra bilar. Den här gratis ODB2-enheten och appen ändrar det. Läs mer , som är fritt tillgängligt för invånare i Washington, Oregon, Kalifornien och Illinois. Under tiden kan många bilar efter 1998 förhöras och övervakas via ODBII diagnostisk port tack vare Android Så övervakar du bilens prestanda med AndroidAtt övervaka massor av information om din bil är oerhört enkelt och billigt med din Android-enhet - lära dig mer om det här! Läs mer och iOS-smarttelefonappar.

Eftersom dessa tekniker har nått allestädes närhet, så har en medvetenhet om att dessa kan hackas. Ingen annanstans är det tydligare än i vår kulturella psyke.

De 2008 thriller Untraceable framträdande med en OnStar-utrustad bil som var "murad" av filmens antagonist för att locka någon i en fälla. Under 2009 lanserade det nederländska IT-företaget InfoSupport en serie reklam som visar en fiktiv hackare kallas Max Cornellise på distans hacka in i bilsystem, inklusive en Porsche 911, med bara hans bärbar dator.

Så med så mycket osäkerhet kring frågan är det viktigt att veta vad som kan göras och vilka hot som finns kvar inom science fiction.

En kort historia om bilhackning?

Utanför Hollywood har säkerhetsforskare gjort några ganska skrämmande saker med bilar.

2013 Charlie Miller och Chris Valasek demonstrerade en attack där de komprometterade en Ford Escape och Toyota Prius och lyckades ta kontroll över broms- och styranläggningarna. Emellertid hade denna attack en stor nackdel, eftersom den var beroende av att en bärbar dator anslutits till fordonet. Detta lämnade säkerhetsforskare nyfikna och undrade om det var möjligt att åstadkomma samma sak, men utan att fysiskt kopplas till bilen.

Den frågan besvarades slutgiltigt ett år senare, när Miller och Valasek genomförde en ännu mer detaljerad studie om säkerheten för 24 olika bilmodeller. Den här gången fokuserade de på kapaciteten för en angripare att genomföra en fjärrattack. Deras omfattande forskning producerade en rapport på 93 sidor, vilket var publicerad på Scribd att sammanfalla med deras uppföljningssamtal på säkerhetskonferensen Blackhat i Las Vegas.

Det antydde att våra bilar inte är så säkra som en gång trodde, med många som saknar de mest rudimentära skydd för cybersäkerhet. Den fördömande rapporten framhöll Cadillac Escalade, Jeep Cherokee och Infiniti Q50 som de mest utsatta för en fjärrattack.

När vi tittar på Infinity Q10 specifikt, ser vi några större förflutna i säkerhet.

Det som gör Infiniti så tvingande som en bil är också det som gör den så sårbar. Liksom många avancerade bilar som producerats under de senaste åren har den en rad tekniska funktioner som är utformade för att göra körupplevelsen roligare. Dessa sträcker sig från nyckellös upplåsning, till trådlös övervakning av däcktrycket, till en "personlig assistent" smartphone-app som gränssnitt med bilen.

Enligt Miller och Vlasek är några av dessa tekniska funktioner inte isolerade utan snarare i nätverk med de system som ansvarar för motorstyrning och bromsning. Detta ger möjligheten att en angripare får tillgång till bilens interna nätverk och sedan utnyttja en sårbarhet som finns i ett av de väsentliga systemen för att krascha eller störa fordon.

Saker som nyckelfri upplåsning och ”personliga assistenter” betraktas snabbt som väsentliga för förare, men som Charlie Miller så uppmärksamt påpekade, "det är lite skrämmande att de alla kan prata med var och en Övrig."

Men vi är fortfarande mycket i teoriens värld. Miller och Vlasek har visat en potentiell väg för en attack, men inte en faktisk attack. Finns det några exempel på att någon faktiskt har lyckats störa bilens datorsystem?

Tja, det finns ingen brist på attacker som riktar sig till nyckelfria upplåsningsfunktioner. En demonstrerades till och med tidigare i år vid Blackhat Security Conference i Las Vegas av den australiska säkerhetsforskaren Silvio Cesare.

Med hjälp av bara 1 000 dollar av verktyg utanför hyllan kunde han förfalska signalen från en nyckelhylla, vilket tillät honom att fjärrlåsa upp en bil. Attacken förlitar sig på att någon är fysiskt närvarande nära bilen, eventuellt i några timmar, som en dator och en radioantenn sänder försöker brute-force mottagaren inbyggd i en bil nyckellös upplåsning systemet.

När bilen öppnats kan angriparen eventuellt försöka stjäla den eller hjälpa sig själv till obevakade föremål som föraren lämnar kvar. Det finns mycket potential för skador här.

Finns det några försvar?

Det beror på.

Det finns redan någon form av skydd mot sårbarheten för fjärråtkomst som upptäckts av Charlie Miller och Chris Valasek. Under månaderna sedan deras Blackhat pratar har de gjort det kunnat konstruera en enhet fungerar som ett intrångsdetekteringssystem (IDS). Detta stoppar inte en attack utan anger föraren när en attack kan pågå. Detta kostar ungefär $ 150 i delar och kräver lite elektronikkunskap att bygga.

Zubies sårbarhet är lite svårare. Även om hålet sedan dess har lagats, låg svagheten inte i bilen utan snarare i den tredje parten som var kopplad till den. Även om bilar har sina egna arkitektoniska osäkerheter, verkar det som att lägga till extra extra bara ökar de potentiella vägarna för en attack.

Kanske det enda sättet att vara verkligt säkert är att köra en gammal bil. En som saknar de mycket sofistikerade klockorna-och-visselpiporna från moderna, avancerade bilar och för att motstå lusten att skjuta saker in i din ODBII-port. Det finns säkerhet i enkelhet.

Är det säkert att köra min bil?

Säkerhet är en evolutionär process.

När människor får en större förståelse för hoten kring ett system utvecklas systemet för att skydda mot dem. Men bilvärlden har inte riktigt haft det Shellshock Värre än heartbleed? Möt ShellShock: En ny säkerhetshot för OS X och Linux Läs mer eller heartbleed Heartbleed - Vad kan du göra för att hålla dig säker? Läs mer . Jag föreställer mig att när den har upplevt sitt första kritiska hot - det är den första nolldagen, om du kommer - biltillverkare kommer att svara på lämpligt sätt och vidta åtgärder för att göra fordonssäkerhet så lite mer rigorös.

Men vad tror du? Är det lite optimistiskt? Är du orolig för hackare som tar över din bil? Jag vill höra om det. Släpp en kommentar nedan.

Fotokrediter: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com