Как изобрести взломать велосипед

Когда долго работаешь в индустрии кибербезопасности, то начинает казаться, что тебя уже сложно удивить каким-нибудь очередным взломом. Видеоняня? Взламывали. Автомобиль? Взламывали и неоднократно — самые разные модели. Да что там автомобили, уже и до автомоек добирались. Игрушечные роботы, кормушки для животных, пульты ДУ… А как насчет аквариума для рыбок? И такое было.

Но что с велосипедами? А вот их еще не ломали — до недавнего момента. В середине августа 2024 года исследователи опубликовали научную работу, в которой они описывают успешную кибератаку на велосипед. Если точнее, то на беспроводную систему переключения скоростей велосипеда с технологией Shimano Di2.

Электронные переключатели скоростей: Shimano Di2 и не только

Стоит сделать несколько пояснений для тех, кто не очень разбирается в велосипедах и новейших трендах в велотехнологиях. Начнем с того, что японская компания Shimano — это крупнейший в мире производитель ключевых компонентов для велосипедов, таких как трансмиссии, тормозные системы и так далее. В первую очередь Shimano специализируется на традиционном механическом оборудовании, однако уже достаточно давно — еще с 2001 года — компания экспериментирует с переходом на электронику.

Классические системы переключения скоростей в велосипедах полагались на тросики, которые физически соединяют переключатели с ручками переключения (манетками) на руле. В электронных системах такой физической связи нет: манетка отправляет переключателю команду, а тот меняет передачу с помощью небольшого электромоторчика.

Электронные системы переключения передач в велосипедах бывают и проводными — в этом случае между манеткой и переключателем вместо тросика протянут провод, по которому передаются команды. Но в последнее время стало модным использование беспроводных систем, в которых манетка отправляет команды переключателю в виде радиосигнала.

На данный момент электронные системы переключения скоростей Shimano Di2 доминируют в более дорогой и профессиональной части продуктовой линейки японской компании. То же происходит и в модельных рядах главных конкурентов производителя — американской SRAM (которая представила беспроводные переключатели передач первой) и итальянской Campagnolo.

Иными словами, значительную часть дорожных, гравийных и горных велосипедов верхнего ценового диапазона уже некоторое время оснащают электронными переключателями передач — и все чаще это именно беспроводные системы.

В случае Shimano Di2 беспроводная система на самом деле не такая уж беспроводная: проводов внутри рамы велосипеда все равно остается немало: A и B — провода от аккумулятора к переднему и заднему переключателям скоростей, соответственно. Источник

Переход от механики к электронике выглядит оправданным. Среди преимуществ электронных систем отмечают скорость, точность и легкость переключения передач. А вот отказ от проводов выглядит инновацией ради инновации — практические плюсы для велосипедиста не очень понятны. При этом система становится значительно сложнее и «умнее», что может приводить к неожиданным неприятностям. И вот тут самое время перейти к основной теме данного поста — взлому велосипедов.

Исследование безопасности беспроводной системы переключения скоростей Shimano Di2

Группа исследователей из Северо-Восточного университета и Калифорнийского университета в Сан-Диего провела анализ безопасности системы Shimano Di2. Конкретными образцами, которые рассматривали исследователи, стали Shimano 105 Di2 (для дорожных велосипедов среднего ценового диапазона) и Shimano DURA-ACE Di2 (самый топ модельного ряда, адресованный профессиональным велогонщикам).

Обе эти системы с точки зрения коммуникационных возможностей идентичны и полностью совместимы. Они используют Bluetooth LE для связи с установленным на смартфон приложением и протокол ANT+ для подключения велокомпьютеров. Однако самое важное — то есть общение между манетками и переключателями — происходит по собственному протоколу Shimano на фиксированной частоте 2,478 ГГц.

Общение это, по сути, довольно примитивно: манетка может скомандовать переключателю изменить передачу на более высокую или на более низкую. А переключатель, в свою очередь, может подтвердить манетке получение команды — в случае отсутствия этого подтверждения команда будет отправлена повторно. Все эти команды шифруются и ключ шифрования, судя по всему, уникален для каждого сопряженного набора манеток и переключателей. Все вроде бы хорошо, кроме одного: пересылаемые пакеты не содержат ни метки времени, ни одноразовых кодов.

Как следствие, для каждой конкретной связки манеток и переключателей команды всегда одинаковы, что делает систему уязвимой для атаки повторного воспроизведения. То есть получается, что у атакующего вообще нет необходимости расшифровывать передаваемые сообщения — он может перехватить зашифрованные команды и далее использовать их для переключения передач на велосипеде жертвы.

Для перехвата и повторного воспроизведения команд исследователи использовали готовую программно-определяемую радиосистему (SDR). Источник

Используя программно-определяемую радиосистему (SDR), исследователи смогли успешно перехватить и воспроизвести команды для переключателей, таким образом получив управление над переключением передач. При этом эффективная дальность атаки даже без каких-либо доработок в оборудовании, без применения усилителей и направленных антенн составила 10 метров — вполне достаточно для практического применения.

В чем опасность атаки на Shimano Di2

Как отмечают исследователи, профессиональные велогонки — это очень конкурентный спорт. Читерство, в первую очередь употребление запрещенных препаратов, вовсе не является для него чем-то неслыханным. Использование уязвимостей в оборудовании велосипеда соперника в этом смысле может быть сравнимо по эффективности. Поэтому подобная кибератака применительно к профессиональному велоспорту выглядит вполне реалистично.

Оборудование, используемое для атаки, может быть миниатюризировано и спрятано как на самом нечестном спортсмене, так и, скажем, на машине сопровождения или установлено стационарно где-нибудь на трассе. При этом непосредственно отправкой команд может удаленно управлять группа поддержки.

Вовремя отправленная атакующим команда на переключение скорости — например, повышение передачи перед подъемом — может серьезно повлиять на результат жертвы атаки. Особенно опасны могут быть атаки на передний переключатель, который более резко меняет передачу — в этом случае атакующий можно добиться остановки спортсмена. В особенно неудачных обстоятельствах из-за неожиданной и резкой смены передачи может слететь или даже повредиться цепь.

Обнаруженные уязвимости в Shimano Di2 позволяют атакующему удаленно управлять переключением скоростей на велосипеде или провести DoS-атаку. Источник

Помимо внезапного для велосипедиста переключения передач атакующим исследователи также изучили возможность того, что они называют «целевым глушением» коммуникаций между манетками и переключателями. Идея состоит в постоянной отправке с определенной периодичностью повторяющихся команд велосипеду жертвы. В этом случае переключатель скоростей доходит, например, до верхней передачи (если повторяется команда «переключить вверх») и остается на ней, более не реагируя на настоящие команды, поступающие от манетки. По сути, это DoS-атака на систему переключения скоростей велосипеда.

Что из всего этого следует

Авторы работы отмечают, что оборудование Shimano было выбрано ими в качестве предмета анализа просто потому, что компания занимает самую большую долю рынка. Они не изучали беспроводные системы конкурентов Shimano — SRAM и Campagnolo — но допускают, что те тоже вполне могут быть уязвимы для подобных атак.

Исследователи сообщили компании Shimano об обнаруженной ими уязвимости. Производитель, судя по всему, воспринял ее всерьез и уже разработал апдейт — правда, на момент написания этого текста он был разослан только профессиональным командам. В Shimano обещают позднее сделать апдейт доступным для широкой публики — обновить велосипед можно будет через приложение E-TUBE PROJECT Cyclist.

Риск эксплуатации уязвимости в случае обычных, не профессиональных, велосипедистов ничтожен. Тем не менее, если вы пользуетесь велосипедом с технологией Shimano Di2 в ее беспроводном исполнении, будет неплохо установить обновление, когда оно появится.