Video: Voiko autolla enää ajaa? - Ilmastouutiset #2 (Marraskuu 2024)
Auton hakkerointi on viime aikoina saanut aikaan paljon otsikoita, vaikka tapauksia on ollut vain yksi (mikä oli sisäinen työ viisi vuotta sitten).
Nyt huomio on kääntynyt jälkimarkkinoilla kytkettyihin autolaitteisiin, jotka kytketään ajoneuvon Onboard Diagnostic Port II -laitteeseen, joka tunnetaan myös nimellä OBD-II-dongit. Laitteet ovat olleet olemassa jo useita vuosia, ja niiden avulla vuoden 1996 jälkeen valmistettujen ODB-II-portilla varustettujen ajoneuvojen omistajat voivat lisätä liitettävyyttä. Niitä tarjoavat yritykset aina suurista autovakuuttajista kymmeneen tai niin moniin aloittelijoihin, jotka vastaavat kaikkea ajotyylijen ja polttoainetalouden seuraamisesta teini-ikäisten seuraamiseen, kun he ovat pyörän takana.
Corvetten jarrujen leikkaaminen
Tämän viikon tietoturvakonferenssin edessä Kalifornian yliopiston San Diegon (UCSD) tutkijat paljastivat kuinka he pystyivät langattomasti murtautumaan OBD-II-dongliin, joka on kytketty myöhäismalliiseen Corvette-malliin. He lähettivät tekstiviestejä laitteeseen, joka käynnisti auton tuulilasinpyyhkimet ja katkaisi jarrut. Tutkijat huomauttivat, että jarrujen hakkerointi voidaan suorittaa vain pienillä nopeuksilla ajoneuvon suunnittelutavan takia, mutta he lisäsivät, että hyökkäys voidaan helposti mukauttaa melkein mihin tahansa nykyaikaiseen ajoneuvoon kriittisten osien, kuten ohjauksen tai voimansiirron, haltuunottoa varten.
"Hankimme joitain näistä, suunnittelimme ne käänteisesti ja matkan varrella havaitsimme, että heillä oli koko joukko tietoturvapuuteita", kertoi projektia vetänyt UCSD: n tietoturvaprofessori Stefan Savage. Donglit "tarjoavat useita tapoja kauko-ohjata… hallita mitä tahansa ajoneuvossa, johon ne oli kytketty", hän lisäsi.
UCSD: n tutkijat ilmoittivat Metromilelle donglin haavoittuvuudesta kesäkuussa, ja yhtiön mukaan se lähetti langattomasti laitteille suojauskorjauksen. "Otamme tämän erittäin vakavasti heti, kun selvisimme", Metromile-toimitusjohtaja Dan Preston kertoi Wiredille.
Silti senkin jälkeen, kun Metromile lähetti turvallisuuskorjauksensa, tuhannet dongit olivat näkyvissä ja edelleen hakkeroitavissa, lähinnä siksi, että espanjalainen laivaston hallintayhtiö Coordina käytti niitä. Emoyhtiön TomTom Telematicsin lausunnossa Coordina totesi tutkivansa tutkijoiden hyökkäystä ja todenneen, että se koskee vain yrityksen käyttämiä dongleiden vanhempaa versiota. Nyt korvataan "rajoitettu määrä" näitä laitteita.
Yhtiö totesi myös, että laitteidensa SIM-korteille määritetty puhelinnumero ei ole julkinen ja että siihen ei voida ottaa yhteyttä tekstiviestin avulla, kuten UCSD: n tutkijoiden hyökkäyksessä. Mutta tutkijat vastustivat, että edes tuntematta SIM-kortin puhelinnumeroa, dongit ovat alttiita raa'alle hyökkäykselle lähettämällä tulva tekstiviestejä.
Vaikka viimeaikaisissa tuotantoautojen hakkeroissa on kulunut kuukausia suorittaaksesi etäältä tai vaadittaessa fyysistä pääsyä ajoneuvoon, pilveen kytkettyjen OBD-II-donglien tietoturva-aukot ovat olleet tiedossa jo useita kuukausia, ja niiden tunkeutuminen on paljon helpompaa. Ja ongelma ei rajoitu mobiililaitteiden tuotteisiin. Tammikuussa turvallisuustutkija Corey Thuen pystyi hakkeroimaan Progressive's Snapshot -laitteen, kun taas tietoverkkoturvayrityksen Argusin tutkijat löysivät turvallisuusvirheitä Zubie OBD-II -laitteella.
Tutkijat huomauttivat, että mahdolliset hakkerit eivät ole rajoittuneet kokeissa käytetylle Corvettelle ja että he voivat ajatella kaapata melkein minkä tahansa nykyajan ajoneuvon ohjauksen tai jarrut, joissa mobiililaitteiden dongli on kytketty kojelautaan. "Ei vain tämä auto ole haavoittuvainen", sanoi UCSD: n tutkija Karl Koscher.
Kuten autovalmistajien kytkettyjen autojen kohdalla, OBD-II-dongleilla varustetun ajoneuvon haittaohjelmia ei ole vielä dokumentoitu. Mutta tutkijat uskovat uhkan olevan todellinen ja huomauttavat, että toisin kuin tuotantoautojen liitettävyydessä, jälkimarkkinalaitteita ei ole valvottu julkisesti.
"Meillä on koko joukko näitä, jotka ovat jo siellä markkinoilla", lisäsi Savage. "Ottaen huomioon, että olemme nähneet täydellisen etäkäytön ja että näitä asioita ei säännellä millään tavalla ja niiden käyttö kasvaa… Minusta on reilu arvio siitä, että muualla tulee olemaan ongelmia."
"Ajattele kahdesti, mitä kytket autoosi", Koscher varoitti. "Tavallisen kuluttajan on vaikea tietää, onko hänen laite luotettava vai ei, mutta heidän on ajateltava sitä hetkessä. Onko tämä alttiimpi minulle suuremmille riskeille?"
Se on kysymys, jota kuluttajat ovat kysyneet jo vuosia, ja kuljettajien, jotka haluavat kytkeä autonsa pilveen OBD-II-donglin kautta, on nyt myös kysyttävä.