Взлом автомобилей — сравнительно новый феномен, но он развивается пугающе быстрыми темпами. В то время как всего лишь год назад ИБ-исследователи только пытались понять принципы работы электроники и коммуникаций в машине, сегодня два эксперта открыли способ удаленной эксплуатации некоторых моделей Chrysler, благодаря которому потенциальный злоумышленник способен влиять на работу коробки передач, тормозов или руля.

Над исследованием потрудились Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek), уже посвятившие несколько лет изучению информационной безопасности в автомобильной промышленности. Результатом предыдущей работы специалистов, которую частично проспонсировала DARPA в рамках инициативы Cyber Fast Track, стало открытие уязвимостей и методов атак на другие модели автомобилей. Тогда методы эксплуатации автомобиля предполагали прямой доступ злоумышленника к целевому автомобилю, хотя Миллер и Валасек не исключали возможности удаленной эксплуатации.

На конференции Black Hat, которая пройдет в следующем месяце, партнеры представят подробный анализ уязвимости, обнаруженной в некоторых моделях Chrysler. Брешь позволяет подключиться к бортовому компьютеру и получить доступ к определенному чипу. Затем, переписав прошивку чипа, потенциальный атакующий может посылать команды, влияющие на управление автомобилем, как утверждают в Wired. Миллер и Валасек также обнаружили метод отслеживания скомпрометированных автомобилей по IP-адресам.

Исследователи обсудили результаты своей работы с концерном Fiat Chrysler, чьи автомобили оказались уязвимы для подобных атак, и на прошлой неделе производитель уже подготовил соответствующий патч. Баг, открытый экспертами, содержится в бортовой системе Uconnect, установленной на нескольких моделях Chrysler и отвечающей за внутренние и внешние коммуникации.

«Так же как ПО на смартфонах и планшетах, ПО, установленное в автомобилях, нуждается в регулярных обновлениях, усиливающих безопасность автомобиля и снижающих риск эксплуатации или несанкционированного доступа к системам автомобиля. Сегодняшнее обновление, совершенно бесплатное для клиентов, также включает некоторые улучшения системы Uconnect, установленной в автомобилях 2015 модельного года, — все для максимального комфорта и безопасности владельцев», — говорится в официальном заявлении концерна.

Хотя найденная уязвимость содержится в системах только одного производителя автомобилей, Миллер и Валасек признают, что вероятность наличия серьезных багов во многих моделях других производителей может спровоцировать серьезные проблемы.

«Если вдруг появится эксплойт, а во всех системах будет найдена незакрытая уязвимость, ситуация сложится непростая», — сказал Валасек, директор по вопросам безопасности автомобилей в компании IOActive, на прошлогодней конференции Black Hat.

Производители автомобилей до последнего времени вяло реагировали на сведения об изъянах безопасности, предоставляемые ИБ-сообществом. Апдейт, выпущенный Chrysler, — это очень редкий прецедент, и, более того, регуляторы уже начали интересоваться вопросами информационной безопасности применительно к автомобилям. Двое американских сенаторов во вторник представили к обсуждению новый билль, призванный задать минимальные требования к безопасности и приватности систем автомобиля.

«Автолюбители не должны делать выбор между подключением к Сети и безопасностью, — заявил сенатор Эд Марки (Ed Markey). — Нам нужно разработать четкие правила и стандарты, которые смогут защитить машины от взломов, а автомобилистов — от неправомерной слежки. Этот билль задаст минимальные требования к методам обеспечения безопасности и приватности данных в эпоху, когда автомобили все чаще подключаются к Интернету».

Категории: Главное, Уязвимости