Ученые из Университета Мичигана обнаружили, что используемая в ряде городов США система управления трафиком на перекрестках уязвима перед простейшими спуфинг-атаками, которые могут спровоцировать серьезные заторы на дорогах.

Исследователи обратили внимание на технологию умных автомобилей — набор стандартов и протоколов, который позволяет машинам «общаться» друг с другом (V2V) и с дорожной инфраструктурой (V2I). В настоящий момент эта технология повсеместно внедряется ведущими автоконцернами.

Ученые попробовали атаковать систему I-SIG, которая отвечает за управление сигналом светофора на перекрестках в зависимости от дорожной ситуации и действует в пяти городах США, включая Нью-Йорк. Как оказалось, дефолтная конфигурация I-SIG не защищена от спуфинг-атак из-за уязвимости на уровне алгоритмов управления сигналом. Эта брешь позволяет последнему прибывшему на перекресток автомобилю посылать повторяющиеся сообщения на датчики I-SIG, создавая видимость появления новых машин. В ответ на это система увеличивает длительность зеленого сигнала светофора, чтобы быстрее пропустить несуществующие автомобили и оптимизировать трафик. Это приводит к возникновению заторов.

На демонстрации PoC исследователи показали, что спуфинг-атака, проведенная при помощи только одного зараженного автомобиля, увеличивает интервалы в движении на 68,1%. Образовавшиеся пробки полностью нивелируют положительный эффект от внедрения системы I-SIG, которая снижает время задержки на светофорах на 26,6%. В тестовом сценарии автомобили, прибывшие на перекресток, проехали его за семь минут, хотя обычно это занимает полминуты.

Как признали ученые, в реальных условиях описанная атака не сможет причинить заметный вред: чтобы спровоцировать пробки и повлиять таким образом на экономику города, потенциальным злоумышленникам необходимо заразить тысячи автомобилей, курсирующих по улицам в течение долгого времени. Тем не менее, массовая атака на систему I-SIG возможна: для нее преступникам придется распространить вредоносное ПО при помощи V2V-технологии.

Быстрое развитие умного транспорта уже давно вызывает беспокойство у ИБ-экспертов. Как показало исследование IDC и Veracode, автомобильная отрасль на несколько лет отстает от отрасли кибербезопасности, при этом 87% опрошенных водителей считают, что ответственность за обеспечение безопасности автомобиля и своевременное обновление ПО целиком лежит на производителе.

Появление новых технологий умных автомобилей сопровождается багами и уязвимостями: например, недавно аргентинские специалисты разработали бэкдор El Bicho, который может отключить блок управления машиной, а также контролировать работу фар и тормозной системы.

Категории: Аналитика, Уязвимости