Aercom.by - Новости безопасности в Беларуси и СНГ

24 августа 2017 г., четверг

Отраслевые мероприятия (Беларусь)

28 июня, 2017

Учебно-практический семинар – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

24 мая, 2017

В первый день «Центр безопасности. 2017» более 1000 специалистов посетили выставку-форум

23 мая, 2017

Памятка посетителям и участникам выставки-форума «Центр безопасности 2017»

22 мая, 2017

Выставка-форум «Центр безопасности. 2017»: технологии, диалог, бизнес

19 мая, 2017

Охранные извещатели, приборы для обеспечения безопасности банкоматов

Отраслевые мероприятия (зарубежные)

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

9 ноября, 2016

Открылась 25-я юбилейная Международная выставка Securika St. Petersburg

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

UConnect: перехват управления автомобилями через интернет
24 июля, 2015

Новая уязвимость в автомобильной системе UConnect предоставляет злоумышленникам возможность НСД ко многим современным машинам. Через удалённое подключение можно переключать передачи, активировать и отключать тормоза и даже поворачивать колёса в любую сторону независимо от положения рулевого колеса. Всё это – без физического доступа к транспортному средству.

Автомобильная система UConnect (фото: telematicsnews.info).

Компания Chrysler Group с прошлого года вошла в состав итальянского концерна Fiat, после чего была выделена в самостоятельную группу Fiat Chrysler Automobiles. При поглощении Fiat получил права на множество технологий, одной из которых была автомобильная система UConnect. Она обеспечивает все интерактивные функции бортового компьютера: управление мультимедиа проигрывателем, подключение беспроводных устройств, навигацию, систему помощи водителю, удалённый запуск двигателя, диагностику и адаптивную подстройку всех систем.

В большинстве современных автомобилей органы управления физически не связаны с исполняющими устройствами. Нажатие педали тормоза даёт команду системе ABS, а вращение руля обрабатывается системой стабилизации с учётом скорости, качества покрытия, давления в шинах и множества других параметров. Передачи переключает автоматическая коробка, у двигателя электронная система зажигания и впрыска топлива. Всем командует бортовой компьютер, а UConnect и аналогичные фирменные платформы обеспечивают возможность удалённого управления им (в частности, через сотовую сеть Sprint).

Чарли Миллер (слева) и Крис Валасек.

Чарли Миллер (слева) и Крис Валасек.

Проблема в том, что права доступа во многих из них никак не проверяются. В этом недавно убедились два специалиста по безопасности – директор IOActive Крис Валасек (Chris Valasek) и бывший сотрудник АНБ Чарли Миллер (Charlie Miller). Авторы исследования нашли возможность автоматического поиска автомобилей с пакетом UConnect в любом регионе и подключения к ним безо всякой авторизации.

«По большому счёту для этого нужно знать только IP-адрес, – комментирует Миллер. – Там нет брандмауэра или ещё каких-то средств защиты. Управлять автомобилем можно из любой точки страны, как если бы вы находились в его салоне. Эта та разновидность софтовых уязвимостей, которая может кого-нибудь убить».

Любая авария, спровоцированная хакерами, будет выглядеть как обычная ошибка водителя (фото: 300cforums.com).

Любая авария, спровоцированная хакерами, будет выглядеть как обычная ошибка водителя (фото: 300cforums.com).

«Как и многие средства удалённого управления, UConnect предоставляет даже больший контроль, чем имеет сам водитель, – поясняет Валасек. – В этой платформе объединяется вся бортовая электроника, развлекательные и сервисные функции. Удалённо можно считывать параметры, менять настройки, режимы работы и даже загрузить модифицированную прошивку».

На этом фоне выглядит странным уведомление Chrysler о том, что патч для некоторых моделей был готов уже 16 июля, но его самостоятельная установка возможна только по USB или в сервисном центре. Большинству водителей придётся найти ближайший и записаться в очередь на обновление. Почему оно не было выполнено централизовано через ту же сеть «Спринт»? Вероятно, на это есть больше маркетинговых, чем технических причин.

Приложение UConnect предоставляет только часть средств контроля, технически возможных через удалённое подключение (Фото: techhive.com).

Приложение UConnect предоставляет только часть средств контроля, технически возможных через удалённое подключение (Фото: techhive.com).

«Я ехал на скорости 70 миль в час, когда Чарли и Крис перехватили управление машиной, – пишет редактор Wired Энди Гринберг, согласившийся помочь в исследовании уязвимости. – Сначала они врубили кондиционер на максимальное охлаждение, затем переключили радиостанцию и увеличили громкость до максимума. Я резко нажал кнопку выключения питания, но безрезультатно. Потом они включили стеклоочистители, и жидкость залила всё стекло. В довершении на дисплее появилось изображение Миллера и Валасека». Хакеры транслировали Энди взлом его машины в прямом эфире, ограничив вмешательство только работой вспомогательных систем. Это был первый эксперимент с чужим автомобилем за год изучения уязвимости.

Перехват управления через UConnect (фото: Whitney Curtis / WIRED).

Перехват управления через UConnect (фото: Whitney Curtis / WIRED).

«Помни, Энди, твоей жизни ничего не угрожает», – сказали они через громкую связь и стали понижать передачи. Гринберг давил на газ, пытался перехватить управление – бесполезно. Двигатель натужно ревел, тахометр показывал высокие обороты, а скорость падала. Через минуту джип уже двигался со скоростью пешехода, игнорируя нажатия на педаль газа.

«За мной образовалась пробка, водители сигналили, а я ничего не мог сделать. Мне пришлось съехать в кювет», – пишет Гринберг. К слову, это не первый подобный опыт редактора Wired. Пару лет назад он уже помогал хакерам изучать аналогичные уязвимости в Ford Escape и Toyota Prius, но тогда они перехватили управление, сидя с ноутбуками на заднем сидении этих машин. Им потребовалось предварительное подключение к диагностическому порту, что сильно усложняло технику взлома. Сейчас же оба находились за пятнадцать – двадцать километров. Более того, расстояние теперь вообще не играло роли.

Эксперимент с перехватом управления закончился в кювете (фото: Andy Greenberg/WIRED).

Эксперимент с перехватом управления закончился в кювете (фото: Andy Greenberg/WIRED).

«Когда ты теряешь уверенность в том, что машина будет точно выполнять твои команды, это полностью меняет отношение к ней», – подводит итог эксперимента Энди Гринберг.

По предварительным данным проблема затрагивает как минимум 471 тыс. автомобилей. Она актуальна не только для собственных машин Chrysler, но также для Fiat, SRT, Ram Trucks, Dodge и Jeep, выпущенных после 2013 года. Все они оснащаются системой UConnect, но пакет доступных опций может быть разный.

Подробнее уязвимость будет обсуждаться в начале августа на конференции DefCon’23. Часть кода авторы планируют представить и на Black Hat. Многие технические детали они пока не намерены разглашать, чтобы дать производителям время. Выпустить патчи – полдела. Их ещё надо установить на полмиллиона машин до полного описания эксплоита. История с уязвимостью UConnect получила широкий резонанс в Сенате США, где уже обсуждается законопроект о мерах повышения цифровой безопасности автомобилей.

Источник: www.computerra.ru

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.