Cum au reusit doi „hackeri” sa controleze un Jeep in trafic
0Doi specialisti in securitate informatica dar mai ales in exploatarea insecuritatii sistemelor de control instalate pe masinile moderne au preluat controlul unui Jeep Cherokees in trafic, folosind o vulnerabilitate de tip 0-day. Acestia estimeaza ca peste 470,000 de masini sunt vulnerabile la acest atac.
Cei doi specialisti, Charlie Miller – Security Researcher Twitter si Chris Valasek – Director al departamentului de Vehicle Security Research de la IoActive, sunt cunoscuti in industrie pentru experimente similare pe Ford Escape si o Toyota Prius in anul 2013. Andy Greenberg, soferul masinii, nu a stiut dinainte ce comportament va avea masina in timpul „atacului”, ci doar i-a fost promis faptul ca nu se va intampla nimic care sa-i riste siguranta si viata.
Fotografie Wired.com
„As the two hackers remotely toyed with the air-conditioning, radio, and windshield wipers, I mentally congratulated myself on my courage under pressure. „
Si cand totul parea sa fie suportabil, lucrurile au incepatut sa devina mai palpitante.
„That’s when they cut the transmission. Immediately my accelerator stopped working. As I frantically pressed the pedal and watched the RPMs climb, the Jeep lost half its speed, then slowed to a crawl. This occurred just as I reached a long overpass, with no shoulder to offer an escape. The experiment had ceased to be fun.”
Ce poate face sistemul dezvoltat de Miller si Valasek?
Arsenalul de optiuni dezvoltat de cei doi specialisti include deja numeroase functionalitati precum:
– accelerare sau decelarea masinii, franarea brusca a masinii sau dezactivarea completa a acestor sisteme
– controlul volanului, (in acest moment sistemul suporta controlul masinii doar cand este in marsarier)
– sistemul GPS, viteza, traseul samd.
– alte sisteme de pe masina precum aerul conditionat, ecranele din masina samd.
Toate acestea sunt posibile deoarece Chrysler, ca orice alta companie ce inoveaza domeniul automobilelor, incearca sa aduca masinile la simplitatea dar si tehnologia smartphone-urilor, iar tehnologia vine la pachet cu problemele de securitate.
Uconnect, unul dintre computerele integrate in masini precum Fiat Chrysler, SUV-uri etc. are permanent acces la Internet. El se ocupa de controlarea sistemelor de navigatie, apeluri telefonice si puncte Wifi in masina. Daca cineva cunoaste IP-ul masinii, oricine ar putea avea acces la functionalitatile masinii.
Mai departe, atacul celor doi pivoteaza pe un alt cip de control al masinii unde instaleaza un firmware modificat. Firmware-ul dezvoltat de Miller si Valasek poate trimite comenzi prin intermediul retelei interne a masinii (CAN), putand astfel interactiona cu aproape toate componentele fizice ale modelului: motor, roti samd.
Fotografie Wired.com
Cei doi specialisti suspecteaza ca orice Chrysler din 2013 pana in prezent ce prezinta unitatea de control Uconnect este vulnerabil la cel putin o parte din capabilitatile solutiei software dezvoltate de acestia.
Povestea integrala dar si videoclipul sunt pe wired.com.
