A kibertérből is törhetők az autók

A Jeep fejlesztői jelezték, hogy elkészült az a biztonsági hibajavítás, amelynek telepítésével egy veszélyes sebezhetőséget lehet befoltozni a gépkocsikon, és kiküszöbölhető, hogy a hackerek helyettünk nyomják a gázt.
 

A héten nagy port kavart az a cikk, amelyben arról esik szó, hogy két biztonsági kutató feltörte a Jeep egyik rendszerét, majd azon keresztül át tudták venni az irányítást az érintett gépkocsik felett. Az autók hackelése ugyanakkor korántsem most kezdődött, hiszen már évekkel ezelőtt is lehetett hallani olyan technikákról, amelyek révén a gépkocsik egyes funkciói felett át lehetett venni a hatalmat. Egyebek mellett 2013-ban a Hacktivity látogatói is betekintést nyerhettek abba, hogy milyen is az, amikor egy autó az etikus hackerek kezébe kerül. 
Felvetődik a kérdés, hogy ha már korábban is voltak autós hackelések, akkor a mostani eset miért is váltott ki ekkora visszhangot. Elsősorban azért, mert az eddigi támadások során a biztonsági kutatók mindvégig úgy hajtották végre az akcióikat, vizsgálataikat, hogy bent ültek a célkeresztbe állított járműben, vagyis távolról nem tudták azok felett átvenni az irányítást, legalábbis a kritikus funkciók tekintetében. Mindez most megváltozott, ugyanis beigazolódott az, amit eddig is sejtettünk: az internethez csatlakozó gépkocsik sebezhetők lehetnek a távolról végrehajtott támadásokkal szemben. 

Az etikus hackelésbe ezúttal is az a Charlie Miller játszotta a főszerepet, aki a Hacktivity-n is prezentálta a korábbi felfedezéseit, és nem mellesleg jelenleg a Twitter biztonsági guruja. A segítéségére volt Chris Valasek kutató, akivel közösen elérték, hogy egy 2014-es Jeep Cherokee úgy táncoljon, ahogy ők fütyülnek. Eközben pedig a gépkocsi vezetője mindent csak tehetetlenül nézett.
A mostani hackelés során a leggyengébb láncszemet az az Uconnect rendszer jelentette, amelynek feladata, hogy biztosítsa a jármű internet felöli elérhetőségét. Ezt a Jeep mellett olyan márkák is alkalmazzák Amerikában, mint például a Chrysler, a Dodge és a Ram. Az Uconnect segítségével az autótulajdonosok távolról elindíthatják a járművüket, bezárhatják vagy kinyithatják az ajtókat, GPS segítségével nyomon követhetik a gépkocsijuk helyzetét stb. Mindezt a Sprint szolgáltató mobil hálózatán keresztül. 

Millerék egy percig sem haboztak alaposabban szemügyre venni az Uconnectet, és azon találtak is egy biztonsági rést. Már itt érdemes megemlíteni, hogy a hibát már 2014 októberében jelezték a gyártónak, de a javítások csak mostanra készültek el. A hackelés hivatalos bemutatójára pedig a Black Hat konferencián kerül majd sor. Előzetesen azonban már volt egy "teszt", amely rávilágított arra, hogy valóban ne lehet félvállról venni a gépkocsik védelmét immár kiberbiztonsági szempontból sem.

A két biztonsági kutató a Wired újságírójának bevonásával szemléltette a munkájuk hozadékát. A tesztvezetés alkalmával, miközben az újságíró boldogan rótta a kilométereket, egyszer csak távolról bekapcsolták a klímát, az ablaktörlőt, majd megbolondították a műszerfalat, és folyamatosan nyomon követték az autó mozgását GPS segítségével. Az igazán aggasztó események azonban csak ezután történtek, ugyanis kiderült, hogy Millerék a szórakoztatóközponton keresztül hozzáfértek a gépkocsi teljes vezérléséhez, és ilyen módon ki tudták iktatni a féket, sőt még kormányozni is tudták az autót a notebookjukról. Igaz ezen a támadáson még akartak fejleszteni, ugyanis a távoli kormányzás egyelőre "csak" hátramenetben működött. 
A hírek szerint jelenleg körülbelül 471 ezer amerikai gépkocsi lehet sebezhető a feltárt sérülékenység miatt. A Jeep már jelezte, hogy a hibajavítások készen állnak a telepítésre, amit vagy USB-n keresztül lehet elvégezni, vagy a márkaszervizek segítségével lehet a patch-et feljuttatni a gépkocsikra. Miller időközben megerősítette, hogy a kiadott hibajavítás megfelelő módon foltozza be a biztonsági rést. 

"Charlie Miller és Chris Valasek több évet dolgoztak azon, hogy egy népszerű jármű rendszerét teljes mértékben kompromittálják. Gondoljunk bele abba, hogy mi történne akkor, ha egy állam nemzetbiztonsága szállna rá erre a témára (komoly erőforrások bevetésével). Én magam egy tizenkét éves Toyotát vezetek, amely semmiféle internetkapcsolattal nem rendelkezik. Azt hiszem, hogy ezt az autót fogom használni, amíg teljesen szét nem esik alattam" - nyilatkozta Andrew Conway, Cloudmark kutatója. 

Az Egyesült Államokban már készül az a törvénytervezet, amely a remények szerint tiszta, átlátható szabályokat teremt a járműgyártásban az új kommunikációs technológiák kapcsán. Ezek az adatbiztonság mellett az adatvédelem kérdését is szabályozzák majd.