Děravé zabezpečení chytrých automobilů: Hackeři dokázali na dálku startovat i troubit

Jak může chyba u jednoho dodavatele ovlivnit jedny z největších automobilek světa, které jsou přímými konkurenty? Zveřejněný případ ukazuje, že automobily s internetovou konektivitou mohou být v ohrožení stejně, jako jakákoliv jiná k síti připojená zařízení. 

Etický hacker Sam Curry se na svém twitterovém účtu pochlubil, jak se svými kolegy dokázal začátkem letošního roku na dálku odemknout, nastartovat, lokalizovat, blikat a troubit na všechna vzdáleně připojená vozidla Honda, Nissan, Infiniti a Acura, a to zcela neautorizovaně, pouze díky znalosti čísla VIN vozu.

Obrázek: Děravé zabezpečení chytrých automobilů: Hackeři dokázali na dálku startovat i troubit

Hackerům stačilo znát VIN kód automobilu a mohli ho na dálku ovládat. Foto: Se souhlasem Nissan

Kdo jsou etičtí hackeři?

Etičtí hackeři, jak jejich označení napovídá, testují zabezpečení nejrůznějších systémů, hledají chyby v jejich zabezpečení a hlásí je provozovatelům. Za svou aktivitu jsou často odměněni přímo vypsanými programy značek, nebo se na odměně snaží domluvit napřímo. Najde se i řada takových, kteří vše mají jako koníček a odměny nechtějí.

BMW, Honda, Hyundai… Chyba se týkala řady automobilek

Podle Curryho stálo za objevem velké bezpečnostní díry více menších chyb, které se svými kolegy postupně objevil u automobilů různých automobilek. Začali pátrat, kdo poskytuje automobilkám telematické služby umožňující vzdálenou komunikaci s vozem. Po prozkoumání zdrojového kódu a dokumentace telematiky vozidel nemohli přehlédnout četné odkazy na společnost SiriusXM.

Jak Curry zmiňuje ve svém příspěvku, „Našli jsme webové stránky SiriusXM Connected Vehicle a všimli jsme si následující citace: SiriusXM je předním poskytovatelem služeb pro připojená vozidla pro značky Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru a Toyota.“ Tolik značek pod jednou střechou hackeři nečekali. Vše nasvědčovalo tomu, že jde o skvělý úlovek.

V tomto okamžiku jsme zahájili skenování a prohledávali internet ve snaze najít co nejvíce domén vlastněných společností SiriusXM a navíc jsme zpětně analyzovali všechny mobilní aplikace zákazníků společnosti SiriusXM, abychom zjistili, jak vzdálená správa skutečně funguje.

Během scanování jsme našli doménu „telematics.net“ a začali ji zkoumat. Podle toho, co jsme zjistili, se zdálo, že zajišťuje služby pro registraci vozidel do funkce vzdálené správy SiriusXM,“ upřesňuje Curry.

Následně hackeři našli v aplikaci NissanConnect velké množství odkazů na doménu telematics.net a rozhodli se ji prozkoumat. Oslovili tak někoho, kdo vlastní vůz značky Nissan, přihlásili se k jeho účtu a poté začali kontrolovat HTTP provoz mezi aplikací a servery služby. Metodou pokus-omyl zjistili, jak dochází ke komunikaci automobilů se servery a jakým způsobem probíhá ověřování.

Stačilo znát VIN kód a hackeři mohli ovládat automobil na dálku

Nebylo těžké oveřit, že má systém řadu nedostatků. Hackeři např. zjistili, že jsou pouze se znalostí VIN kódu automobilu schopni zasílat příkazy na dálku. Problémem nebylo odemknutí či zamknutí, troubení, blikání světel a řada dalších úkonů.

Jak ale padlo výše, v tomto případě šlo naštěstí o hackery etické. Ti tak společnosti SiriusXM svůj objev nahlásili a ta následně provedla nezbytné úpravy ve svých systémech. Případ je hezkou ukázkou etického hackingu a zároveň poukazuje na fakt, že chyba na straně jednoho dodavatele může mít vliv na nezanedbatelnou část celého promyslu.

V době chytrých zařízení připojených k internetu se podobných případů odehrávají každý týden tisíce. Bohužel, v některých případech, jako byl např. tento, se uživatel prakticky nemůže bránit. Snad jen vypnutím internetového připojení, čímž by se ochudil o řadu užitečných funkcí.

Zdroj: Sam Curry, Twitter

Odebírat
Upozornit na
guest
0 Komentářů
Inline Feedbacks
View all comments
Obrázek: Závody v oblasti AI pokračují. Google představil Bard, konkurenci pro ChatGPT
Závody v oblasti AI pokračují. Google představil Bard, konkurenci pro ChatGPT
Obrázek: Satelity z vysloužilých skafandrů? Netradiční nápad skončil fiaskem
Satelity z vysloužilých skafandrů? Netradiční nápad skončil fiaskem
Obrázek: Konec vyhledávačů, jak je známe. Microsoft rozšiřuje Bing o umělou inteligenci
Konec vyhledávačů, jak je známe. Microsoft rozšiřuje Bing o umělou inteligenci
Obrázek: Samsung, Google a Qualcomm spojují síly ve vývoji smíšené reality
Samsung, Google a Qualcomm spojují síly ve vývoji smíšené reality
Obrázek: Recenze: Česká čistička vzduchu GARNI 45T OneCare obstála na výbornou
93%
Recenze: Česká čistička vzduchu GARNI 45T OneCare obstála na výbornou
Znečištěný vzduch
Čistíte si doma vzduch? Co znamená PM 2.5 a jaký mohou mít nečistoty vliv na vaše zdraví?
Obrázek: Blíží se kometa, kterou můžete vidět pouze jednou za 50 000 let. Jak ji sledovat?
Blíží se kometa, kterou můžete vidět pouze jednou za 50 000 let. Jak ji sledovat?
Obrázek: Konec složitostem. Novinka ve WhatsAppu ušetří hodiny se zálohováním
Konec složitostem. Novinka ve WhatsAppu ušetří hodiny se zálohováním