Objavljeno: 23.7.2015 01:00

Ali si res želite internet v avtomobilu?

Pri ameriški reviji Wired so opravili zanimivo demonstracijo ranljivosti sodobnih informacijsko opremljenih avtomobilov z resnično srhljivimi posledicami. Avtor prispevka je s pomočjo hekerjev prikazal, kako preprosto je vdreti v tako imenovane infotainment (informacijsko-večpredstavne) sisteme, ki so v novih modelih vse bolj pogosto povezani z internetom, ter od tam dalje dostopati do vitalnih funkcij avtomobila, tudi med vožnjo.

Za demonstracijo so vzeli ameriški Jeep Cherokee letnika 2014 z vgrajenim informacijskim sistemom Uconnect, priključenim v internet. S posebno tehniko vdora, kjer so izkoristili doslej neznano ranljivost vgrajene programske opreme, so uspeli prevzeti nadzor nad celotnim informacijskim sistemom in prek vgrajenega lokalnega omrežja (CAN) nato tudi do elektronskega krmilnega sistema skorajda celotnega vozila.

Na daljavo, udobno zleknjena v kavču, sta hekerja Charlie Miller in Chris Valasek prek prenosnih računalnikov stopnjevano prevzemala nadzor nad vozilom avtorja prispevka, ki se je vozil po javni cesti. Sprva sta vključila klimatsko napravo in jo nastavila na najmočnejšo stopnjo ventilacije in hlajenja. Nato sta na zaslonu sistema prikazala svojo fotografijo, izbrala svojo skladbo, močno povečala glasnost in hkrati onemogočila upravljanje sistema v samem vozilu. Vklopila sta brisalce in vključila čiščenje šipe, s čimer sta motila vidljivost.

S tem pa zabave še ni bilo konec. V naslednjem koraku sta prevzela nadzor nad stopalko za plin in postopoma upočasnila vozilo, da je to postalo že resna ovira v prometu. Eksperiment se je nato iz javnih površin preselil na varno parkirišče, kjer sta hekerja avtorju prispevka po danih navodilih obračala krmilo, na daljavo izključila zavore in povzročila, da je avto (razmeroma varno) zdrsnil v bližnji jarek. Da, kot kaže, to ni več zgolj teorija temveč praktična možnost zlorabe vozil, ki jih vsakodnevno srečujemo na cestah.

Prikazana tehnika vdora je rezultat več kot leto dni trajajoče analize vgrajene programske opreme, ki se je zaključila s pripravo alternativne sistemske programske opreme (firmware), prek katere lahko heker dobi popoln nadzor nad vozilom, ne da bi se pred tem moral fizično srečati z njim. Pred nekaj leti sta avtorja naredila podoben, a nekoliko manj srhljiv vdor v Toyotino vozilo, vendar je vdor potekal lokalno, prek priključka v vozilu. Danes to lahko storijo nevidno, na daljavo.

Avtorja nameravata del tehnike vdora predstaviti na prihajajoči konferenci Black Hat, ki se bo v začetku avgusta odvijala v Las Vegasu. Zaradi varnostnih razlogov pa ne nameravata razkriti ključnih delov kode, ki omogočajo spremembo sistemske programske opreme. Ranljivost so seveda že pred več meseci razkrili družbi Chrysler, proizvajalcu vozila, ki je tako imel dovolj časa, da je pripravil potrebne popravke.

Težava je v tem, da je popravke po rednem postopku možno naložiti le lokalno, prek ključa USB, torej le ob obisku mehanika. Po mnenju avtorjev so na tak tip vdora ranljivi praktično vsi modeli vozil s sistemom Uconnect, tako da ni povsem jasno, ali bo Chysler morda preventivno izvršil vpoklic vozil.

Avtorji obenem opozarjajo, da so na podroben način potencialno ranljiva tudi vozila drugih proizvajalcev, ki uporabljajo podobne komponente v svojih vozilih in v vozilo vgrajeno internetno povezavo. S tem skušajo razkriti pomanjkljivosti sodobnih internetno povezanih vozil, ki jih proizvajalci vse preveč skušajo spremeniti v nekakšne »pametne telefone« z vsemi posledicami in ranljivostmi. Ki pa so tu življenjsko nevarne.

Prikazana tehnika vdora bo v javnosti zagotov imela še precej odmevov in posledic; upajmo da bo zaradi tega varnost udeležencev v prometu izboljšana, ne pa še poslabšana.

MK0SrxBC1xs

Več novic

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Redka zmaga malega rudarja kriptovalut

    V času, ko rudarjenje bitcoina obvladujejo velika podjetja s specializirano opremo in ogromnimi viri, je neodvisnemu solo rudarju uspel izjemen podvig. 

    Objavljeno: 27.7.2025 13:00
  • Šibko geslo in hekerski vdor pogubila 158 let staro podjetje

    Britansko podjetje KNP iz Northamptonshira, ki se je ukvarjalo s prevozi, je po 158 letih obratovanja zaprlo vrata, zaradi česar je brez dela ostalo 700 ljudi. Razlog ni slabo poslovanje, težke tržne razmere, izgube ali celo poneverbe, temveč precej bolj banalen. Podjetje je opustošil hekerski napad, v katerem so napadalci odnesli podatke o vseh strankah.

    Objavljeno: 23.7.2025 05:00
  • Internet umira, krivi smo sami

    Spletne strani in celotni internet se zanašajo na nepisano pravilo, ki se je v zadnjem letu začelo krhati in grozi, da bo pokopalo internet, kot ga poznamo. Zaradi agentov in modelov umetne inteligence čedalje manj klikamo na spletne strani, zaradi česar imajo te čedalje več težav s financiranjem. Zdi sem, da jim škoduje tudi Google, ki je doslej benevolentno zagotavljal promet s svojim iskalnikom.

    Objavljeno: 31.7.2025 05:00
  • Tehnologija je orodje za množično nadzorovanje

    Ko je minuli teden kamera na koncertu skupine Coldplay v Bostonu prikazala par, ki objet posluša Chrisa Martina, bi bil lahko to le še eden izmed množice povsem običajnih in dolgočasni prizor. A ker se je ženska na posnetku obrnila proč in obraz zakopal v roke, moški pa se je sklonil pod kader, je posnetek vzbudil veliko pozornosti. Pevec Chris Martin ga je na odru komentiral z besedami, da sta bodisi zelo sramežljiva bodisi razmerje skrivata – in ostalo je bilo zgodovina.

    Objavljeno: 21.7.2025 05:00
  • ChatGPT-5 bo na voljo avgusta

    Sam Altman, izvršni direktor OpenAI, je potrdil, da bo model GPT-5 izšel že v začetku avgusta. 

    Objavljeno: 25.7.2025 09:00
  • ChatGPT je slab v šahu

    Najboljši šahist sveta Magnus Carlsen je v spletnem dvoboju premagal umetno inteligenco ChatGPT v vsega 53-ih potezah, pri čemer sam ni izgubil niti ene same figure. 

    Objavljeno: 21.7.2025 09:00
 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji