Kutatók szerint alapjaiban hibás az autók alkatrészei közötti kommunikációért felelős CAN protokoll. Ez nem jelent közvetlen veszélyt a mindennapi autós életünkben, de egy erőteljes jelzés arra vonatkozóan, hogy az autók biztonságára figyelni kell.

Augusztus közepén fedezték fel a Trend Micro szakemberei azt a tervezési hibát az autó alkatrészei közötti kommunikációért felelős CAN protokollban, mely a légzsákok kikapcsolásához, a zár kinyitásához, majd az autó ellopásához is vezethet. A jó hír, hogy a támadáshoz a hackernek előbb hozzá kell férnie az autó hálózatához, mondjuk annak szórakoztató központján keresztül. A rossz hír, hogy a hiba a szabvány része, és így minden, a protokollt használó autót érint.

Elfogott üzenetek

A támadás az ember autoimmun megbetegedéséhez hasonlít, mely azt eredményezi, hogy az emberi test saját szerveit támadja meg. IT biztonsági példával élve, a DDoS, vagyis a szolgáltatás megtagadási támadáshoz hasonlít.

A kutatók szerint a hekker két alkatrész közötti kommunikációban a különböző üzenetdarabkák elküldésére vár, azokat elfogja, majd egy elrontott bit-tel módosítva újból és újból tovább küldi. Mikor a megcélzott alkatrész látja, hogy rontott üzenet érkezik, felkéri a küldő alkatrészt, hogy hívja vissza a hibás üzenetet. Ezt mindaddig ismétlik, míg a hibaüzenetek hatására az alkatrész elhiszi magáról, hogy hibás, ezt elmondja a hálózat többi tagjának, majd lekapcsolja önmagát a hálózatról.

Autó csak biztonságosan jó

A szakemberek is elismerik, hogy a hibát kihasználó sikeres támadás valószínűsége csak elméleti, hiszen a technológiának nagyon aprólékos ismeretére van szükség, hogy kihasználják. Azonban rávilágít egy aggasztó trendre, nevezetesen arra, hogy az internetre kapcsolt autókat illene a gyártóknak az alapoktól újragondolni, majd biztonságosabbá tenni.

A G DATA blogján többször is írtunk az autó és biztonság labilis kapcsolatáról. Két évvel ezelőtt magyar szakembereknek, a CrySys Lab és a Budapesti Műszaki és Gazdaságtudományi Egyetem közös kísérletében sikerült észrevétlenül sikerült kikapcsolniuk egy Audi TT légzsákjait. A hiba a járművek elemzésére és javítására használt autószerelési szoftver nulladik napi támadásán (zero-day exploit) – azaz egy még nem publikált hiba kihasználásán – alapult. A szoftvert, bár a Volkswagen Csoport árulja, nem ők készítették, hanem külsős cég, amelytől a VW megvásárolta.

Ugyancsak 2015-ben írtuk meg, hogy a Tesla teljesen elektromos luxusautójában, a Model S-ben felfedezett sérülékenység tette lehetővé egy támadó számára, hogy kinyissa a járművet, beindítsa a motort, majd elhajtson vele.

Leállt a motor

A leghíresebb autóbiztonsági eset még 2014-ben történt, mikor egy (azóta médiahacknek címkézett) bemutatóban egy 2014-es Jeep Cherokee felett vették át az uralmat távoli hackerek, elindították a légkondicionáló berendezést, az ablaktörlőket, a rádiót és azután a motort is leállították. Maga az FBI is figyelmeztetést adott ki, mely szerint valós veszély, hogy az autókat, teherautókat távolról el lehet téríteni, és ennek legyenek tudatában a sofőrök is.