Спустя несколько дней после того, как концерн Fiat Chrysler выпустил патч уязвимости в системе Uconnect и заверил пользователей, что потенциальная атака на брешь, дающую хакерам возможность получить контроль над автомобилем, маловероятна, компания решила отозвать почти 1,5 млн автомобилей, в системах которых содержится баг.

На решение концерна повлияли результаты исследования, проведенного ИБ-экспертами Чарли Миллером (Charlie Miller) и Крисом Валасеком (Chris Valasek). Партнеры почти год работали над своим проектом, в конечном итоге обнаружив уязвимость в бортовом компьютере Uconnect, используемом в ряде моделей Fiat Chrysler, доступных на американском рынке. Валасек и Миллер разработали эксплойт для бага в системе, который позволил им скомпрометировать работу логики одного из чипов в бортовой системе и таким образом удаленно отдавать команды, получая контроль над различными системами автомобиля. В качестве «подопытного кролика» выступил собственный автомобиль Миллера.

За несколько дней до того, как информация о баге была опубликована, Fiat Chrysler выпустил обновление прошивки бортового компьютера, чтобы закрыть брешь в Uconnect. Но теперь компания решила все-таки отозвать подверженные риску автомобили, включая такие модели, как Jeep Cherokee, Grand Cherokee, Dodge Viper, Dodge Challenger, и несколько других моделей.

«Безопасность клиентов Fiat Chrysler — наша первоочередная задача; мы очень дорожим их доверием, — говорится в официальном пресс-релизе Fiat Chrysler. — Таким образом, подразделение концерна в США сформировало отдельную команду инженеров, отвечающую за качество бортовых систем. Она сконцентрирует усилия на разработке и интеграции ПО в соответствии с высочайшими стандартами качества».

Еще на прошлой неделе представитель Fiat Chrysler в своем заявлении занижал риск, который представляет собой обнаруженная исследователями уязвимость.

«Насколько нам известно, ни одного случая удаленной атаки на автомобили Fiat Chrysler зарегистрировано не было», — написал в блоге Гуалберто Раньери (Gualberto Ranieri), старший вице-президент по коммуникациям.

В своем твиттере Валасек написал, что компания Fiat Chrysler, по-видимому, изолировала вектор атаки, которую они провели для перехвата управления системами автомобиля. Им оказался порт для подключения сотовой связи Sprint.

«Похоже, я больше не могу попасть в джип Чарли со своего смартфона. Молодцы, FCA/Sprint!» — отметил он.

Что весьма странно, исследование Валасека и Миллера никак не упоминается в официальной хронике событий, включающей публикацию информации об уязвимости и предоставление патча Fiat Chrysler Национальному управлению по безопасности дорожного движения США, хотя эксперты представляли концерну результаты в ходе работы. Согласно этой хронологии событий, лавры достались компании Sprint, закрывшей коммуникационный порт, использовавшийся для атаки.

«Кроме того, важно отметить, что сотовый провайдер удаленно закрыл доступ к открытому порту. Тест был успешно проведен 22 июля 2015 года, а массовое внедрение соответственного обновления системы произошло 23 июля 2015 года. Установка обновления не требует вмешательства со стороны клиента и не влияет на надежность работы системы. Выпущенное обновление снимает риск удаленного взлома бортовой системы автомобиля», — говорится в хронике.

Категории: Главное, Уязвимости