Děravé zabezpečení chytrých automobilů: Hackeři dokázali na dálku startovat i troubit

Jak může chyba u jednoho dodavatele ovlivnit jedny z největších automobilek světa, které jsou přímými konkurenty? Zveřejněný případ ukazuje, že automobily s internetovou konektivitou mohou být v ohrožení stejně, jako jakákoliv jiná k síti připojená zařízení. 

Etický hacker Sam Curry se na svém twitterovém účtu pochlubil, jak se svými kolegy dokázal začátkem letošního roku na dálku odemknout, nastartovat, lokalizovat, blikat a troubit na všechna vzdáleně připojená vozidla Honda, Nissan, Infiniti a Acura, a to zcela neautorizovaně, pouze díky znalosti čísla VIN vozu.

Obrázek: Děravé zabezpečení chytrých automobilů: Hackeři dokázali na dálku startovat i troubit

Hackerům stačilo znát VIN kód automobilu a mohli ho na dálku ovládat. Foto: Se souhlasem Nissan

Kdo jsou etičtí hackeři?

Etičtí hackeři, jak jejich označení napovídá, testují zabezpečení nejrůznějších systémů, hledají chyby v jejich zabezpečení a hlásí je provozovatelům. Za svou aktivitu jsou často odměněni přímo vypsanými programy značek, nebo se na odměně snaží domluvit napřímo. Najde se i řada takových, kteří vše mají jako koníček a odměny nechtějí.

BMW, Honda, Hyundai… Chyba se týkala řady automobilek

Podle Curryho stálo za objevem velké bezpečnostní díry více menších chyb, které se svými kolegy postupně objevil u automobilů různých automobilek. Začali pátrat, kdo poskytuje automobilkám telematické služby umožňující vzdálenou komunikaci s vozem. Po prozkoumání zdrojového kódu a dokumentace telematiky vozidel nemohli přehlédnout četné odkazy na společnost SiriusXM.

Jak Curry zmiňuje ve svém příspěvku, „Našli jsme webové stránky SiriusXM Connected Vehicle a všimli jsme si následující citace: SiriusXM je předním poskytovatelem služeb pro připojená vozidla pro značky Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru a Toyota.“ Tolik značek pod jednou střechou hackeři nečekali. Vše nasvědčovalo tomu, že jde o skvělý úlovek.

V tomto okamžiku jsme zahájili skenování a prohledávali internet ve snaze najít co nejvíce domén vlastněných společností SiriusXM a navíc jsme zpětně analyzovali všechny mobilní aplikace zákazníků společnosti SiriusXM, abychom zjistili, jak vzdálená správa skutečně funguje.

Během scanování jsme našli doménu „telematics.net“ a začali ji zkoumat. Podle toho, co jsme zjistili, se zdálo, že zajišťuje služby pro registraci vozidel do funkce vzdálené správy SiriusXM,“ upřesňuje Curry.

Následně hackeři našli v aplikaci NissanConnect velké množství odkazů na doménu telematics.net a rozhodli se ji prozkoumat. Oslovili tak někoho, kdo vlastní vůz značky Nissan, přihlásili se k jeho účtu a poté začali kontrolovat HTTP provoz mezi aplikací a servery služby. Metodou pokus-omyl zjistili, jak dochází ke komunikaci automobilů se servery a jakým způsobem probíhá ověřování.

Stačilo znát VIN kód a hackeři mohli ovládat automobil na dálku

Nebylo těžké oveřit, že má systém řadu nedostatků. Hackeři např. zjistili, že jsou pouze se znalostí VIN kódu automobilu schopni zasílat příkazy na dálku. Problémem nebylo odemknutí či zamknutí, troubení, blikání světel a řada dalších úkonů.

Jak ale padlo výše, v tomto případě šlo naštěstí o hackery etické. Ti tak společnosti SiriusXM svůj objev nahlásili a ta následně provedla nezbytné úpravy ve svých systémech. Případ je hezkou ukázkou etického hackingu a zároveň poukazuje na fakt, že chyba na straně jednoho dodavatele může mít vliv na nezanedbatelnou část celého promyslu.

V době chytrých zařízení připojených k internetu se podobných případů odehrávají každý týden tisíce. Bohužel, v některých případech, jako byl např. tento, se uživatel prakticky nemůže bránit. Snad jen vypnutím internetového připojení, čímž by se ochudil o řadu užitečných funkcí.

Zdroj: Sam Curry, Twitter

Obrázek: Český zdicí robot naživo: Je překvapivě pomalý, na rozdíl od lidí ale nepotřebuje odpočívat
Český zdicí robot naživo: Je překvapivě pomalý, na rozdíl od lidí ale nepotřebuje odpočívat
Obrázek: Pohled do útrob Apple Vision Pro vs. Meta Quest 3: Co ukazují snímky z CT?
Pohled do útrob Apple Vision Pro vs. Meta Quest 3: Co ukazují snímky z CT?
Obrázek: Vylepšená služba Google Find My Device najde ztracená sluchátka, lokátory i vypnuté telefony
Vylepšená služba Google Find My Device najde ztracená sluchátka, lokátory i vypnuté telefony
Obrázek: Chytré meteostanice pomáhají s výukou v pražských školách
Chytré meteostanice pomáhají s výukou v pražských školách
Obrázek: Noční fotografie s vivo X100 Pro: Jak fotit v noci se smartphonem jako profík?
Noční fotografie s vivo X100 Pro: Jak fotit v noci se smartphonem jako profík?
Obrázek: Recenze robotického vysavače TESLA RoboStar iQ700 s laserovou navigací: Čistá domácnost bez námahy?
85%
Recenze robotického vysavače TESLA RoboStar iQ700 s laserovou navigací: Čistá domácnost bez námahy?
Obrázek: Zažijte budoucnost už dnes: Nainstalujte si umělou inteligenci Gemini do telefonu s Androidem
Zažijte budoucnost už dnes: Nainstalujte si umělou inteligenci Gemini do telefonu s Androidem
Obrázek: Kde koupit Bitcoin v ČR? Návod na bezpečný nákup kryptoměn v roce 2024
Kde koupit Bitcoin v ČR? Návod na bezpečný nákup kryptoměn v roce 2024