Ali si res želite internet v avtomobilu?
Pri ameriški reviji Wired so opravili zanimivo demonstracijo ranljivosti sodobnih informacijsko opremljenih avtomobilov z resnično srhljivimi posledicami. Avtor prispevka je s pomočjo hekerjev prikazal, kako preprosto je vdreti v tako imenovane infotainment (informacijsko-večpredstavne) sisteme, ki so v novih modelih vse bolj pogosto povezani z internetom, ter od tam dalje dostopati do vitalnih funkcij avtomobila, tudi med vožnjo.
Za demonstracijo so vzeli ameriški Jeep Cherokee letnika 2014 z vgrajenim informacijskim sistemom Uconnect, priključenim v internet. S posebno tehniko vdora, kjer so izkoristili doslej neznano ranljivost vgrajene programske opreme, so uspeli prevzeti nadzor nad celotnim informacijskim sistemom in prek vgrajenega lokalnega omrežja (CAN) nato tudi do elektronskega krmilnega sistema skorajda celotnega vozila.
Na daljavo, udobno zleknjena v kavču, sta hekerja Charlie Miller in Chris Valasek prek prenosnih računalnikov stopnjevano prevzemala nadzor nad vozilom avtorja prispevka, ki se je vozil po javni cesti. Sprva sta vključila klimatsko napravo in jo nastavila na najmočnejšo stopnjo ventilacije in hlajenja. Nato sta na zaslonu sistema prikazala svojo fotografijo, izbrala svojo skladbo, močno povečala glasnost in hkrati onemogočila upravljanje sistema v samem vozilu. Vklopila sta brisalce in vključila čiščenje šipe, s čimer sta motila vidljivost.
S tem pa zabave še ni bilo konec. V naslednjem koraku sta prevzela nadzor nad stopalko za plin in postopoma upočasnila vozilo, da je to postalo že resna ovira v prometu. Eksperiment se je nato iz javnih površin preselil na varno parkirišče, kjer sta hekerja avtorju prispevka po danih navodilih obračala krmilo, na daljavo izključila zavore in povzročila, da je avto (razmeroma varno) zdrsnil v bližnji jarek. Da, kot kaže, to ni več zgolj teorija temveč praktična možnost zlorabe vozil, ki jih vsakodnevno srečujemo na cestah.
Prikazana tehnika vdora je rezultat več kot leto dni trajajoče analize vgrajene programske opreme, ki se je zaključila s pripravo alternativne sistemske programske opreme (firmware), prek katere lahko heker dobi popoln nadzor nad vozilom, ne da bi se pred tem moral fizično srečati z njim. Pred nekaj leti sta avtorja naredila podoben, a nekoliko manj srhljiv vdor v Toyotino vozilo, vendar je vdor potekal lokalno, prek priključka v vozilu. Danes to lahko storijo nevidno, na daljavo.
Avtorja nameravata del tehnike vdora predstaviti na prihajajoči konferenci Black Hat, ki se bo v začetku avgusta odvijala v Las Vegasu. Zaradi varnostnih razlogov pa ne nameravata razkriti ključnih delov kode, ki omogočajo spremembo sistemske programske opreme. Ranljivost so seveda že pred več meseci razkrili družbi Chrysler, proizvajalcu vozila, ki je tako imel dovolj časa, da je pripravil potrebne popravke.
Težava je v tem, da je popravke po rednem postopku možno naložiti le lokalno, prek ključa USB, torej le ob obisku mehanika. Po mnenju avtorjev so na tak tip vdora ranljivi praktično vsi modeli vozil s sistemom Uconnect, tako da ni povsem jasno, ali bo Chysler morda preventivno izvršil vpoklic vozil.
Avtorji obenem opozarjajo, da so na podroben način potencialno ranljiva tudi vozila drugih proizvajalcev, ki uporabljajo podobne komponente v svojih vozilih in v vozilo vgrajeno internetno povezavo. S tem skušajo razkriti pomanjkljivosti sodobnih internetno povezanih vozil, ki jih proizvajalci vse preveč skušajo spremeniti v nekakšne »pametne telefone« z vsemi posledicami in ranljivostmi. Ki pa so tu življenjsko nevarne.
Prikazana tehnika vdora bo v javnosti zagotov imela še precej odmevov in posledic; upajmo da bo zaradi tega varnost udeležencev v prometu izboljšana, ne pa še poslabšana.
MK0SrxBC1xs
