SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
29 Янв 2016

Машина была взломана при помощи музыкального трека

Чем умнее становятся современные автомобили, тем больше способов их взломать придумывают исследователи.

Профессор Калифорнийского университета Стефан Севадж (Stefan Savage) продемонстрировал на конференции Usenix Enigma, что взломать машину можно даже при помощи обычного музыкального CD, если в один из треков внедрен вредоносный код.

Ученый представил на конференции результат шести лет исследований самых разных автомобильных систем. Севадж и его команда не сосредотачивались на взломе конкретной марки авто, и большинство задокументированных в их докладе проблем датированы 2010 годом. То есть исследователи Калифорнийского университета взламывали автомобили задолго до Чарли Миллера (Charlie Miller) и Криса Валасека (Chris Valasek), которые прошлым летом доказали, что управление автомобилями концерна Fiat Chrysler можно перехватить удаленно, чем встряхнули всю автоиндустрию.

Пожалуй, наиболее примечательным моментом в выступлении профессора, стал рассказ о взломе машины при помощи обычного музыкального CD. «Вот уже 20 лет автомобиль представляет собой огромную распределенную систему, к которой присоединены колеса, — рассказывает Севадж. — Это одна из самых сложных распределенных систем из всех, что вам принадлежат, она содержит 35-40 различных электронных контроллеров и десятки операционных систем, работающих сообща».

На сегодняшний день автомобили действительно являют собой мешанину из плохо написанного и еще хуже интегрированного OEM-софта, созданного сторонними компаниями. Как правило, работу автомобиля поддерживают две основных сети: быстрая, отвечающая за работу двигателя, тормозов и коробки передач, и более медленная, на плечи которой ложится исполнение второстепенных функций, к примеру, контроль климата и мультимедиа. Две эти сети должны поддерживать контакт друг с другом, и этом процессе может «поучаствовать» злоумышленник.

В качестве примера команда Севаджа описывает атаку с использованием музыкального CD. Как только система начинает проигрывать специально созданный .WMA-трек, вредоносный код, встроенный в файл, обращается к уязвимости в софтверном плеере. В итоге атака позволяет удаленно перехватить контроль над двигателем авто: после проникновения в систему, дальнейшие команды машине можно посылать на встроенный модуль сотовой связи. Ученый отмечает, что для выполнения вредоносного кода «песня» должна играть всего 18 секунд. Из доклада Севаджа ясно, что на текущий момент эта уязвимость уже была устранена.

Большой проблемной современных автомобилей исследователи также называют и разъем OBDII, обычно расположенный под рулевым колесом, над педалями. Если злоумышленнику удалось получить доступ к данному порту, можно считать, что все системы автомобиля уже у него в кармане. Конечно, получение физического доступа к любой системе или серверу всегда чревато нехорошими последствиями, но Севадж снова указывает на тот факт, что в данном случае работу злоумышленнику здорово облегчает низкое качество автомобильного софта.

«Производители автомобилей не являются разработчиками ПО, они лишь интеграторы, так что софт страдает в результате различных проблем логистики, — говорит ученый. — Исходные коды программ зачастую недоступны, проведение аудита кода невозможно, а в результате ни одна компания в мире не имеет доступа ко всем исходным кодами автомобильных систем».

Исследователи отмечают, что внедрение фаерволов в автомобили вряд ли возможно в текущих условиях. Архитектура слишком сложна, плюс автопроизводителям слишком важна цена данного шага – даже если брандмауэр будет обходиться в $5 для одного автомобиля, это уже не вариант.

Хотя сам Севадж предпочитает работать за кулисами и не стремится к славе, он высказался и о нашумевшем взломе Миллера и Валасека: «Fiat Chrysler был вынужден отозвать более 1,4 млн автомобилей, что обошлось им в четверть миллиарда долларов. Это заставило автопроизводителей пересмотреть свои взгляды. Тот факт, что нужно добавить четверть миллиарда к затратам, просто потому что двое парней решили выступить на Black Hat, заставил всех проснуться».

Единственной альтернативой нынешнему печальному положению вещей Севадж и его команда видят использование беспроводных систем автоматического обновления ПО. Подобный механизм уже применяет компания Tesla Motors. Ученые уверены, что автопроизводители, еще не запустившие собственные системы удаленных обновлений, сделают это в самом скором будущем, потому как цена бездействия в данном случае чересчур высока. Ознакомиться с полной версией доклада можно здесь и здесь.

Теги:
утечка информации
Источник:
Хакер
606
ДРУГИЕ НОВОСТИ
24 Апр 2018 safeum news imgage Хакерская группировка Orangeworm инфицирует медицинское оборудование
23 Апр 2018 safeum news imgage Найден способ красть данные с iPhone "по воздуху"
20 Апр 2018 safeum news imgage 20 миллионов человек установили поддельные блокировщики рекламы
20 Апр 2018 safeum news imgage Обнаружена утечка данных 48 млн пользователей LinkedIn, Facebook и других сервисов
19 Апр 2018 safeum news imgage Сетевые накопители LG подвержены критической уязвимости
18 Апр 2018 safeum news imgage Apple начнет продавать безлимитный абонемент на доступ к журналам
18 Апр 2018 safeum news imgage Крупный банк впервые задействовал блокчейн для денежных переводов
17 Апр 2018 safeum news imgage Производители Android-смартфонов скрывают небезопасность своих устройств
16 Апр 2018 safeum news imgage В Gmail появятся "самоуничтожающиеся" письма
16 Апр 2018 safeum news imgage 12 сотрудников Apple арестовали за утечки
13 Апр 2018 safeum news imgage Миллионы компьютеров по-прежнему заражены WannaCry
13 Апр 2018 safeum news imgage Суд постановил, что Apple должна полмиллиарда "патентному троллю"
12 Апр 2018 safeum news imgage Хакеры взломали учетную запись сервиса Vevo на YouTube
11 Апр 2018 safeum news imgage США будут следить за СМИ и блогерами по всему миру
10 Апр 2018 safeum news imgage США собираются изучать соцсети подающих на визу
Все новости
SafeUM
Конфиденциальность Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015