Divat lett az autók hackelése

Most már rendszeresen kerülnek napvilágra olyan sebezhetőségek, amelyek gépkocsik hackelésére adnak lehetőséget. Komoly probléma, hogy mindezzel a legnagyobb gyártók sem tudnak mit kezdeni. Egyelőre.
 

Júliusban nagy hírverést kapott az a hackelés, amelynek főszereplője egy 2014-es Jeep Cherokee volt. Két biztonsági kutató, Charlie Miller és Chris Valasek ugyanis egy olyan támadási eljárást dolgozott ki, amelynek révén távolról átvehetővé vált a tesztbe bevont gépkocsi feletti irányítás. Távolról bekapcsolták a klímát, az ablaktörlőt, majd megbolondították a műszerfalat, és folyamatosan nyomon követték az autó mozgását GPS segítségével. Emellett ki tudták iktatni a féket, sőt még kormányozni is tudták az autót a notebookjukról, legalábbis hátramenetben. A kutatók által kihasznált sérülékenységet az Uconnect rendszer tartalmazta, amihez azóta már elkezdtek megjelenni a biztonsági frissítések.
Az etikus hackerek tovább dolgoztak

A biztonsági kutatók számára természetesen nem állt meg az élet az Uconnect sérülékenységénél. Mindennek ékes bizonyítékát adta Samy Kamkar a Las Vegas-ban nemrégen megrendezett DEF CON hackerkonferencián. Egy 100 dolláros kütyü segítségével demonstrálta, hogy miként lehet kompromittálni a GM által preferált OnStar RemoteLink mobil alkalmazás iOS kompatibilis változatát. A OnStar egyik célja, hogy a gépkocsik tulajdonosai számára lehetőséget adjon arra, hogy az okostelefonjaikról lekérdezzék a jármű pozícióját, kinyissák az ajtókat, vagy akár beindítsák a motort. 

Kamkar kis eszköze az iOS alkalmazás egyik sebezhetőségét használta ki. Mégpedig azt, hogy a szoftver nem minden esetben ellenőrzi megfelelően az SSL tanúsítványokat, aminek következtében közbeékelődéses támadás útján hozzá lehet férni a célkeresztbe állított felhasználó gépkocsijához. Ehhez a trükkhöz egy hamis WiFi hozzáférési pontot is felhasznált a szakember, és arra vette rá az érintett készülékeket, hogy azon keresztül csatlakozzanak az internethez, miközben ő maga lehallgatta, illetve manipulálta a hálózati adatforgalmat.

A GM a biztonsági rés hírére már reagált, és kiadott egy frissítést. Ugyanakkor időközben kiderült, hogy az SSL-alapú sebezhetőség nem kizárólag a RemoteLink alkalmazásban van jelen, hanem egyebek mellett a Mercedes (mbrace), a BMW (My BMW Remote) és a Chrysler (Uconnect) alkalmazásaiban is. Kamkar ezen gyártóknak is jelezte a felfedezéseit, de a hibajavítások még nem készültek el. 

A helyzetet fokozza, hogy a BMW esetében már jóval korábban ismert volt a sérülékenység. Han Sahin, a holland Securify cég alapítója ugyanis közölte, hogy az SSL-lel kapcsolatos biztonsági hiányosságokról már április 22-én tájékoztatta a BMW-t. Állítólag a hibabejelentést a gyár biztonsági vezetője is megkapta, amit vissza is igazoltak. Azonban a sebezhetőség a mai napig ott tátong az érintett szoftveren. 

Hogy lesz ebből biztonság?

Egyelőre nagyon úgy fest, hogy az autógyártók csak mostanság kezdenek észbe kapni, és kezdik felismerni, hogy az információbiztonsági kockázatok a gépkocsikba is bekopogtattak. Vélhetőleg minél több rendellenesség kerül napvilágra, annál nagyobb figyelmet kapnak majd a sebezhetőségek, illetve az azokra adott gyártói reakciók. Erre nagy szükség is lesz, hiszen a nyári események is igazolták, hogy ha egy biztonsági résre fény derül, akkor az több millió gépkocsit érinthet hátrányosan. Az pedig biztosra vehető, hogy nem kizárólag etikus hackerek kísérleteznek a járművekbe helyet kapó vagy az azokhoz kapcsolódó alkalmazások térdre kényszerítésével…