Европейские исследователи еще в 2012 году обнаруженный серьезные уязвимости в криптотранспондере Megamos, который установлен более чем в 100 моделях автомобилей разных производителей (Audi, Ferrari, Cadillac, Volkswagen и др.
).
Обнаруженные ими ошибки безопасности позволяли злоумышленникам запускать автомобили без ключа.
Криптотранспондер Megamos в ключе от автомобиля
Исследователи смогли обойти все собственные механизмы безопасности транспондера, включая шифрование и протокол аутентификации, и реализовать три практических вектора атаки, которые могли бы раскрыть 96-битный секретный ключ устройства.
Схема процедуры аутентификации
Во время одной из атак им удалось завести автомобиль с помощью устройства, имитирующего транспондер, всего за полчаса.
Другой атаке практически невозможно противостоять, если у злоумышленника есть доступ к автомобилю и транспондеру хотя бы на короткое время (что возможно при аренде автомобиля или использовании парковка автомобилей служащим отеля ).
Список уязвимых транспортных средств
В то же время, как отчеты Net Security, эксперты по безопасности смогли опубликовать свои исследования только сейчас из-за противодействия со стороны автопроизводителей.
Так, в 2013 году их выступление на симпозиуме по безопасности USENIX было заблокировано компанией Volkswagen, которая обратилась в Верховный суд Великобритании и добилась запрета на публикацию ключевых разделов исследования.
Теперь оргкомитет USENIX получил разрешение опубликовать версию работы, в которой отсутствует информация, которая могла бы позволить злоумышленникам без глубоких технических навыков осуществлять атаки.
В последнее время тема информационной безопасности автомобиля возникает довольно часто.
Так в июле 2015 года автопроизводитель Land Rover объявлено об отзыве более 65 000 автомобилей, в программном обеспечении которых содержалась ошибка, приводящая к самопроизвольному отпиранию дверей.
Кроме того, два исследователя на практическом примере показали журналисту Проводные публикации возможность различных атак, в том числе дистанционного перехвата управления тормозами и коробкой передач автомобиля, движущегося по трассе другого государства.
Jeep Cherookee 2014 года был оснащен системой Uconnect FCA, которая подключается к мобильной сети Sprint. Эксперты по кибербезопасности использовали баг в Uconnect, позволяющий взламывать автомобили на любом расстоянии (изначально планировалось, что перехватить управление можно будет в пределах 100 метров от места работы прямого Wi-Fi).
Благодаря уязвимости в Uconnect они смогли получить GPS-координаты, идентификационный номер, модель, дату производства и IP-адрес проезжающих поблизости автомобилей.
Во время одной из демонстраций исследователи удаленно взяли под контроль джип Cherokee, управляя дворниками, насосом омывателя, рулевым колесом и тормозами.
В результате джип отправили в кювет. В результате Крайслер выпущенный патч и решили отозвать более 1,4 миллиона автомобилей.
Кроме того, в прессу поступило информация о нескольких уязвимостях в электромобиле Tesla Model S (которые позже были исправлены).
Ранее в этом году BT запустила инициатива , который помогает автопроизводителям выяснить, подвержены ли их автомобили кибератакам.
Угон автомобилей – не единственное, что может интересовать преступников.
Еще одно популярное занятие включает в себя разблокировку определенных функций автомобиля, которые доступны только в более дорогих комплектациях.
В 2013 году на форуме по информационной безопасности PHDays Кирилл Ермаков и Дмитрий Скляров сказал о взломе микроконтроллера ЭБУ (электронного блока управления) автомобиля для разблокировки функций, позволяющих максимально эффективно работать системам автомобиля.
Слайды из этой презентации можно посмотреть на сайте связь .
Теги: #уязвимости #автомобили #автомобили #транспондер #Мегамос #информационная безопасность
-
Аполлоний Пергский
19 Oct, 24 -
Почему Стоит Выбрать Интернет-Маркетинг?
19 Oct, 24
