Сюрприз для водителя: несущийся по шоссе джип можно взломать удаленно

Поездка за город теперь может стать по-настоящему веселым и захватывающим приключением: эксперты по компьютерной безопасности Чарли Миллер и Крис Валасек смогли перехватить управление кроссовером Jeep Cherokee.

Взлом удалось осуществить удаленно, что делает проблему еще серьезнее. На момент начала атаки добровольная жертва хакеров-исследователей ехала со скорость 110 км/ч по хайвею в центре города Сент-Луис, США.

Hackers remotely kill a Jeep on the highway — with me in it http://t.co/4eQiTtelA4 pic.twitter.com/9bxDTOY5Y0

— WIRED (@WIRED) July 21, 2015

«Пока два взломщика удаленно играли с кондиционером, радио и стеклоочистителями, я гордился своим самообладанием. И в этот момент они добрались до коробки передач».

Отчет Wired из первых рук рассказывает о чувствах водителя, потерявшего контроль над суперавтоматизированным подключенным авто. Сидевший за рулем журналист Энди Гринберг сообщает, что хакеры перехватили контроль над акселератором и тормозной системой машины, а также менее важными компонентами, такими как радио, стеклоочистители и клаксон. Для этого Крису и Чарли понадобилось взломать мультимедийную систему Uconnect через сотовое соединение.

К счастью, ситуацию не оставили совсем без внимания: производители операционных систем и самих автомобилей начали внедрять разнообразные меры для защиты от киберугроз. Что и неудивительно, так как проблема весьма серьезная.

Крис Валасек сказал: «Когда я осознал, что могу взломать авто из любой точки мира по Интернету, я просто охренел: таким образом можно добраться до машины, несущейся по шоссе где-то по стране, далеко от взломщика. Вот она, та поворотная точка, после которой удаленный взлом автомобиля становится реальностью».

К сожалению, всех внедряемых сейчас мер безопасности будет недостаточно. Гиганты компьютерного мира, такие как Microsoft и Apple, потратили годы на разработку эффективных способов «лечения» собственных продуктов. У автомобильной индустрии этого времени нет.

Заметим, что это уже далеко не первый раз, когда автомобиль становится жертвой хакеров. Но мы все еще сталкиваемся с огромными «дырами» в безопасности, которые, похоже, никто не стремится быстро «залатать».

С понедельничком вас, друзья. Всем кофейку и почитать интересное: "Можно ли хакнуть автомобиль?" — http://t.co/jpkRiGy3ax (можно!)

— Kaspersky (@Kaspersky_ru) August 5, 2013

Есть вероятность, что в других автомобилях можно обнаружить подобную уязвимость. Миллер и Валасек не тестировали машины таких производителей, как Ford, General Motors, и других гигантских автоконцернов. Внушает опасения и потенциальный масштаб возможного заражения.

Согласно Чарли Миллеру, опытный хакер способен взять под контроль группу систем Uconnect и использовать их для дальнейшего сканирования, точно так же, как и взломанные ПК. В результате потенциальный злоумышленник от одной мультимедийной системы к другой сможет заразить другие машины по сети сотового оператора Sprint и создать ботнет из сотен тысяч машин с удаленным управлением. Это просто подарок для террористов, а возможно, и для правительств воюющих стран.

Очередное, совсем уже явное, доказательство того, что хакнуть автомобиль очень легко: http://t.co/IRa4QwOvJZ

— Kaspersky (@Kaspersky_ru) November 10, 2014

«Во избежание подобных инцидентов разработчикам следует руководствоваться двумя базовыми принципами — изоляции и контролируемой коммуникации», — считает Сергей Ложкин, старший специалист по безопасности Центра глобальных исследований и анализа «Лаборатории Касперского».

«Принцип изоляции означает, что две отдельные системы не могут повлиять друг на друга. Например, мультимедийная система не должна взаимодействовать с управляющей системой (как это произошло в случае с Jeep Cherokee). Принцип контролируемой коммуникации подразумевает внедрение процедур шифрования и проверки прав доступа при передаче и приеме информации от автомобиля и к нему. Судя по результатам эксперимента с Jeep Cherokee, в этом автомобиле использовались слабые, уязвимые алгоритмы проверки прав доступа, а шифрование было внедрено некорректно», — сообщает Сергей Ложкин.

Сюрприз для водителя: несущийся по шоссе #Jeep можно взломать удаленно #безопасность #хакеры #автомобили

Tweet

До тех пор пока проблемы безопасности не начнут решаться на уровне индустрии, мы можем подумать о том, чтобы пересесть на велосипеды и лошадок… или в старые авто. По крайней мере, их не хакнешь. Кстати, дуэт Миллера и Валасека собирается представить подробный отчет по своим исследованиям на конференции Black Hat в августе 2015 года, и мы охотно послушаем их доклад.