Több sebből vérzik a legbiztonságosabb autó

A Tesla S modelljéről kiderült, hogy olyan biztonsági réseket tartalmaz, amelyek révén a támadók önálló életre kelthetik az autót.
 

Ahogy a gépkocsikban egyre nagyobb szerephez jutnak az informatikai fejlesztések, és mind több elektronika gondoskodik a megfelelő menettulajdonságokról, valamint a kényelemről, úgy kerülnek egyre gyakrabban az autók a biztonsági kutatók látókörébe. Ők pedig a vizsgálataik során nem éppen a motor teljesítményével, a hengerek számával vagy a lengéscsillapítókkal foglalkoznak, hanem sokkal inkább azzal, hogy az adott gépkocsi vagy annak egyes funkciói felett miként tudják átvenni az irányítást.

Az elmúlt években már számtalanszor bebizonyosodott, hogy az autók sem sebezhetetlenek informatikai szempontból. Legutóbb a Defcon konferencián világított rá minderre Charlie Miller, a Twitter biztonsági szakembere és Chris Valasek, az IOActive elnöke. A tíz hónapos kutatásuk során a modern gépjárművek elektronikai rendszereit etikus hackerek szemszögéből vizsgálták. A konferencián pedig ismertették a felfedezéseiket, amelyeket egy 2010-es Ford Escape és egy szintén 2010-es Toyota Prius kapcsán tettek. Lényegében minden elektronikus funkciót sikerült "megbolondítaniuk", de ami ennél sokkal komolyabb kérdéseket vet fel, hogy olyan rendszerek működésébe is be tudtak avatkozni, amelyek például a fékezésért vagy a kormányzásért felelősek.

Előgurult egy Tesla

Az autók hackelése a Defcon után is folytatódott. Ezúttal George Reese, a Dell mérnöke adott hírt a legújabb felfedezéseiről, amiket a Tesla Model S alaposabb szemügyre vételekor tett. A szakember megállapította, hogy a legutóbbi töréstesztek alapján Amerika legbiztonságosabb autójának kikiáltott gépkocsija információbiztonsági szempontból már korántsem biztos, hogy ilyen jól teljesít. Kiderült ugyanis, hogy bizonyos hacker trükkökkel az autó egyes funkciói manipulálhatók.

Reese szerint az alapvető problémát az okozza, hogy a Tesla fejlesztői biztonsági réseket hagytak azon a REST API-n (Application Programming Interface), amely a mobil készülékekkel történő kommunikációhoz szükséges. A gyártó ügyfeleinek rendelkezésre állnak olyan Android és iOS kompatibilis mobil alkalmazások, melyek révén a gépkocsijukat bizonyos mértékig ellenőrizhetik, vezérelhetik. Így például lekérdezhetik az autó pozícióját, ellenőrizhetik az akkumulátor töltöttségi szintjét, beállíthatják a klímát, elhúzhatják a napfénytetőt, stb. Ezek a szoftverek az említett API-függvényeken keresztül hajtják végre a felhasználó utasításait.

A biztonsági kutató vizsgálatai alátámasztották, hogy a Tesla által fejlesztett REST API sebezhetősége miatt – akár speciálisan szerkesztett weboldalakon keresztül – részben átvehetővé válhat a mobil alkalmazások által támogatott funkciók feletti irányítás, amivel egy hacker kellemetlen meglepetéseket szerezhet az autótulajdonosoknak. Szerencsére ez esetben nincs arról szó, hogy menetbiztonságot közvetlenül érintő rendszereket is lehetne manipulálni.

Reese kifejtette, hogy a Tesla fejlesztői a REST API kapcsán nem tartottak be számos olyan, legjobb gyakorlatokra vonatkozó előírást, megfontolást, amelyek révén a sérülékenységeket ki lehetett volna küszöbölni. Problémákat vélt felfedezni többek között az SSL-támogatás, a felhasználói jelszavak kezelése és az úgynevezett hitelesítő tokenek alkalmazása kapcsán is. Ez utóbbiak például három hónapos lejárati idővel rendelkeznek, ami egy hacker fantáziáját igencsak meg tudja mozgatni. A szakember mindezek mellett értetlenségének adott hangot amiatt, hogy a mérnökök miért nem alkalmaztak saját fejlesztés helyett olyan, már bevált megoldásokat, mint amilyen például a Twitter által is támogatott OAuth.