stalviscom-logo-1000px

Aercom.by - Новости безопасности в Беларуси и СНГ

23 сентября 2019 г., понедельник

Отраслевые мероприятия (Беларусь)

3 сентября, 2019

Состоялись летние курсы СКУД «SIGUR»

23 августа, 2019

Арсенал Road Show 2019

16 июля, 2019

Летние курсы от Hikvision – сертификат HCSA

4 июля, 2019

(Доп. набор) Обучение от Hikvision – сертификат HCSA

23 июня, 2019

«Центр безопасности. 2019». Итоги

15 мая, 2019

15 мая – 1-ый день выставки «Центр безопасности. 2019»

Отраслевые мероприятия (зарубежные)

5 апреля, 2019

Итоги Securika Moscow: рекордное число посетителей

18 марта, 2019

Юбилейная выставка Securika Moscow 2019 показывает рекордный уровень доверия к бренду

18 марта, 2019

Запланируйте посещение мероприятий деловой программы выставки Securika Moscow

bolid-stand-mips2019-50p
2 марта, 2019

Новая линейка оборудования «Рупор» на Securika Moscow 2019!

27 февраля, 2019

Технология распознавания лиц: реалии и перспективы

13 февраля, 2019

Начните планировать свое посещение Securika Moscow 2019

Каталог предприятий

sfera-kameri-videonabludeniya-125х125

Видео

UConnect: перехват управления автомобилями через интернет
24 июля, 2015

Новая уязвимость в автомобильной системе UConnect предоставляет злоумышленникам возможность НСД ко многим современным машинам. Через удалённое подключение можно переключать передачи, активировать и отключать тормоза и даже поворачивать колёса в любую сторону независимо от положения рулевого колеса. Всё это – без физического доступа к транспортному средству.

Автомобильная система UConnect (фото: telematicsnews.info).

Компания Chrysler Group с прошлого года вошла в состав итальянского концерна Fiat, после чего была выделена в самостоятельную группу Fiat Chrysler Automobiles. При поглощении Fiat получил права на множество технологий, одной из которых была автомобильная система UConnect. Она обеспечивает все интерактивные функции бортового компьютера: управление мультимедиа проигрывателем, подключение беспроводных устройств, навигацию, систему помощи водителю, удалённый запуск двигателя, диагностику и адаптивную подстройку всех систем.

В большинстве современных автомобилей органы управления физически не связаны с исполняющими устройствами. Нажатие педали тормоза даёт команду системе ABS, а вращение руля обрабатывается системой стабилизации с учётом скорости, качества покрытия, давления в шинах и множества других параметров. Передачи переключает автоматическая коробка, у двигателя электронная система зажигания и впрыска топлива. Всем командует бортовой компьютер, а UConnect и аналогичные фирменные платформы обеспечивают возможность удалённого управления им (в частности, через сотовую сеть Sprint).

Чарли Миллер (слева) и Крис Валасек.

Чарли Миллер (слева) и Крис Валасек.

Проблема в том, что права доступа во многих из них никак не проверяются. В этом недавно убедились два специалиста по безопасности – директор IOActive Крис Валасек (Chris Valasek) и бывший сотрудник АНБ Чарли Миллер (Charlie Miller). Авторы исследования нашли возможность автоматического поиска автомобилей с пакетом UConnect в любом регионе и подключения к ним безо всякой авторизации.

«По большому счёту для этого нужно знать только IP-адрес, – комментирует Миллер. – Там нет брандмауэра или ещё каких-то средств защиты. Управлять автомобилем можно из любой точки страны, как если бы вы находились в его салоне. Эта та разновидность софтовых уязвимостей, которая может кого-нибудь убить».

Любая авария, спровоцированная хакерами, будет выглядеть как обычная ошибка водителя (фото: 300cforums.com).

Любая авария, спровоцированная хакерами, будет выглядеть как обычная ошибка водителя (фото: 300cforums.com).

«Как и многие средства удалённого управления, UConnect предоставляет даже больший контроль, чем имеет сам водитель, – поясняет Валасек. – В этой платформе объединяется вся бортовая электроника, развлекательные и сервисные функции. Удалённо можно считывать параметры, менять настройки, режимы работы и даже загрузить модифицированную прошивку».

На этом фоне выглядит странным уведомление Chrysler о том, что патч для некоторых моделей был готов уже 16 июля, но его самостоятельная установка возможна только по USB или в сервисном центре. Большинству водителей придётся найти ближайший и записаться в очередь на обновление. Почему оно не было выполнено централизовано через ту же сеть «Спринт»? Вероятно, на это есть больше маркетинговых, чем технических причин.

Приложение UConnect предоставляет только часть средств контроля, технически возможных через удалённое подключение (Фото: techhive.com).

Приложение UConnect предоставляет только часть средств контроля, технически возможных через удалённое подключение (Фото: techhive.com).

«Я ехал на скорости 70 миль в час, когда Чарли и Крис перехватили управление машиной, – пишет редактор Wired Энди Гринберг, согласившийся помочь в исследовании уязвимости. – Сначала они врубили кондиционер на максимальное охлаждение, затем переключили радиостанцию и увеличили громкость до максимума. Я резко нажал кнопку выключения питания, но безрезультатно. Потом они включили стеклоочистители, и жидкость залила всё стекло. В довершении на дисплее появилось изображение Миллера и Валасека». Хакеры транслировали Энди взлом его машины в прямом эфире, ограничив вмешательство только работой вспомогательных систем. Это был первый эксперимент с чужим автомобилем за год изучения уязвимости.

Перехват управления через UConnect (фото: Whitney Curtis / WIRED).

Перехват управления через UConnect (фото: Whitney Curtis / WIRED).

«Помни, Энди, твоей жизни ничего не угрожает», – сказали они через громкую связь и стали понижать передачи. Гринберг давил на газ, пытался перехватить управление – бесполезно. Двигатель натужно ревел, тахометр показывал высокие обороты, а скорость падала. Через минуту джип уже двигался со скоростью пешехода, игнорируя нажатия на педаль газа.

«За мной образовалась пробка, водители сигналили, а я ничего не мог сделать. Мне пришлось съехать в кювет», – пишет Гринберг. К слову, это не первый подобный опыт редактора Wired. Пару лет назад он уже помогал хакерам изучать аналогичные уязвимости в Ford Escape и Toyota Prius, но тогда они перехватили управление, сидя с ноутбуками на заднем сидении этих машин. Им потребовалось предварительное подключение к диагностическому порту, что сильно усложняло технику взлома. Сейчас же оба находились за пятнадцать – двадцать километров. Более того, расстояние теперь вообще не играло роли.

Эксперимент с перехватом управления закончился в кювете (фото: Andy Greenberg/WIRED).

Эксперимент с перехватом управления закончился в кювете (фото: Andy Greenberg/WIRED).

«Когда ты теряешь уверенность в том, что машина будет точно выполнять твои команды, это полностью меняет отношение к ней», – подводит итог эксперимента Энди Гринберг.

По предварительным данным проблема затрагивает как минимум 471 тыс. автомобилей. Она актуальна не только для собственных машин Chrysler, но также для Fiat, SRT, Ram Trucks, Dodge и Jeep, выпущенных после 2013 года. Все они оснащаются системой UConnect, но пакет доступных опций может быть разный.

Подробнее уязвимость будет обсуждаться в начале августа на конференции DefCon’23. Часть кода авторы планируют представить и на Black Hat. Многие технические детали они пока не намерены разглашать, чтобы дать производителям время. Выпустить патчи – полдела. Их ещё надо установить на полмиллиона машин до полного описания эксплоита. История с уязвимостью UConnect получила широкий резонанс в Сенате США, где уже обсуждается законопроект о мерах повышения цифровой безопасности автомобилей.

Источник: www.computerra.ru

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.