Děravé zabezpečení chytrých automobilů: Hackeři dokázali na dálku startovat i troubit

Jak může chyba u jednoho dodavatele ovlivnit jedny z největších automobilek světa, které jsou přímými konkurenty? Zveřejněný případ ukazuje, že automobily s internetovou konektivitou mohou být v ohrožení stejně, jako jakákoliv jiná k síti připojená zařízení. 

Etický hacker Sam Curry se na svém twitterovém účtu pochlubil, jak se svými kolegy dokázal začátkem letošního roku na dálku odemknout, nastartovat, lokalizovat, blikat a troubit na všechna vzdáleně připojená vozidla Honda, Nissan, Infiniti a Acura, a to zcela neautorizovaně, pouze díky znalosti čísla VIN vozu.

Obrázek: Děravé zabezpečení chytrých automobilů: Hackeři dokázali na dálku startovat i troubit

Hackerům stačilo znát VIN kód automobilu a mohli ho na dálku ovládat. Foto: Se souhlasem Nissan

Kdo jsou etičtí hackeři?

Etičtí hackeři, jak jejich označení napovídá, testují zabezpečení nejrůznějších systémů, hledají chyby v jejich zabezpečení a hlásí je provozovatelům. Za svou aktivitu jsou často odměněni přímo vypsanými programy značek, nebo se na odměně snaží domluvit napřímo. Najde se i řada takových, kteří vše mají jako koníček a odměny nechtějí.

BMW, Honda, Hyundai… Chyba se týkala řady automobilek

Podle Curryho stálo za objevem velké bezpečnostní díry více menších chyb, které se svými kolegy postupně objevil u automobilů různých automobilek. Začali pátrat, kdo poskytuje automobilkám telematické služby umožňující vzdálenou komunikaci s vozem. Po prozkoumání zdrojového kódu a dokumentace telematiky vozidel nemohli přehlédnout četné odkazy na společnost SiriusXM.

Jak Curry zmiňuje ve svém příspěvku, „Našli jsme webové stránky SiriusXM Connected Vehicle a všimli jsme si následující citace: SiriusXM je předním poskytovatelem služeb pro připojená vozidla pro značky Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru a Toyota.“ Tolik značek pod jednou střechou hackeři nečekali. Vše nasvědčovalo tomu, že jde o skvělý úlovek.

V tomto okamžiku jsme zahájili skenování a prohledávali internet ve snaze najít co nejvíce domén vlastněných společností SiriusXM a navíc jsme zpětně analyzovali všechny mobilní aplikace zákazníků společnosti SiriusXM, abychom zjistili, jak vzdálená správa skutečně funguje.

Během scanování jsme našli doménu „telematics.net“ a začali ji zkoumat. Podle toho, co jsme zjistili, se zdálo, že zajišťuje služby pro registraci vozidel do funkce vzdálené správy SiriusXM,“ upřesňuje Curry.

Následně hackeři našli v aplikaci NissanConnect velké množství odkazů na doménu telematics.net a rozhodli se ji prozkoumat. Oslovili tak někoho, kdo vlastní vůz značky Nissan, přihlásili se k jeho účtu a poté začali kontrolovat HTTP provoz mezi aplikací a servery služby. Metodou pokus-omyl zjistili, jak dochází ke komunikaci automobilů se servery a jakým způsobem probíhá ověřování.

Stačilo znát VIN kód a hackeři mohli ovládat automobil na dálku

Nebylo těžké oveřit, že má systém řadu nedostatků. Hackeři např. zjistili, že jsou pouze se znalostí VIN kódu automobilu schopni zasílat příkazy na dálku. Problémem nebylo odemknutí či zamknutí, troubení, blikání světel a řada dalších úkonů.

Jak ale padlo výše, v tomto případě šlo naštěstí o hackery etické. Ti tak společnosti SiriusXM svůj objev nahlásili a ta následně provedla nezbytné úpravy ve svých systémech. Případ je hezkou ukázkou etického hackingu a zároveň poukazuje na fakt, že chyba na straně jednoho dodavatele může mít vliv na nezanedbatelnou část celého promyslu.

V době chytrých zařízení připojených k internetu se podobných případů odehrávají každý týden tisíce. Bohužel, v některých případech, jako byl např. tento, se uživatel prakticky nemůže bránit. Snad jen vypnutím internetového připojení, čímž by se ochudil o řadu užitečných funkcí.

Zdroj: Sam Curry, Twitter

Odebírat
Upozornit na
guest
0 Komentářů
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
Obrázek: Novinky ze světa AI #89: Umělá inteligence tvoří podcasty, OpenAI se chystá na příchod superinteligence
Novinky ze světa AI #89: Umělá inteligence tvoří podcasty, OpenAI se chystá na příchod superinteligence
Obrázek: NVIDIA RTX 50 jsou prý největším skokem v PC grafice za posledních 25 let: Karty oslní výkonem i AI schopnostmi
NVIDIA RTX 50 jsou prý největším skokem v PC grafice za posledních 25 let: Karty oslní výkonem i AI schopnostmi
Obrázek: Proč je tak snadné narušit podmořské kabely a naopak těžké je opravit?
Proč je tak snadné narušit podmořské kabely a naopak těžké je opravit?
Obrázek: Technologie roku 2025: Elektromobilita, všudypřítomná AI a nástup „agentů“
Technologie roku 2025: Elektromobilita, všudypřítomná AI a nástup „agentů“
Obrázek: Jaké aplikace nesmí chybět v novém chytrém telefonu? Nejlepší aplikace pro Android zdarma
Jaké aplikace nesmí chybět v novém chytrém telefonu? Nejlepší aplikace pro Android zdarma
Obrázek: Čas došel, Štědrý den je tu. Tipy na dárky na poslední chvíli, které vám přijdou e-mailem
Čas došel, Štědrý den je tu. Tipy na dárky na poslední chvíli, které vám přijdou e-mailem
Obrázek: Dostali jste nový telefon? Poradíme, jak snadno přenést kontakty, zprávy a data ze starého
Dostali jste nový telefon? Poradíme, jak snadno přenést kontakty, zprávy a data ze starého
Obrázek: Tipy na last minute dárky pro fanoušky technologií, geeky a ajťáky
Tipy na last minute dárky pro fanoušky technologií, geeky a ajťáky