<
  • Главная
Статьи

Як зламати 100 мільйонів автомобілів Volkswagen

  1. Як не вкрасти 100 мільйонів «Фольксвагенів»
  2. Коментарі експерта

Деякі експерти з безпеки автомобілів спеціалізуються на який-небудь одній марці або навіть моделі. Наприклад, Чарлі Міллер і Кріс Валасек два роки експериментували з Jeep Cherokee концерну Fiat Chrysler. Вибір пояснювався просто - «Джип» у них був.

Інші віддають перевагу більш глобальний підхід. Наприклад, в 2015 році від Флавіо Гарсіа і його команди з Бірмінгемського університету дісталося чи не половині автомобільної індустрії: дослідники показали, що в автомобілях Audi, Citroen, Fiat, Honda, Skoda і Volvo з бесьключевой доступом, а також в машинах багатьох інших компаній можна завести двигун взагалі без ключа.

Тепер же спільно з фахівцями з німецької конструкторської фірми Kasper & Oswald все ті ж вчені з Бірмінгемського університету розповіли ще про двох вразливості .

Одна з них виявилася в автомобілях концерну Volkswagen - як виявилося, їх теж можна відкрити без ключа. Тут важливий масштаб: за заявою дослідників, проблема зачіпає майже 100 млн автомобілів, що випускалися на заводах Volkswagen з 1995 року. Лише нові автомобілі, починаючи з Golf VII, позбавлені цієї уразливості.

Лише нові автомобілі, починаючи з Golf VII, позбавлені цієї уразливості

Атака не потребує будь-якого складного обладнання - зловмисникам вистачить програмно керованої радіосистеми і ноутбука, хоча вони можуть обійтися і простенької складанням на базі платформи Arduino і приймача радіосигналів загальною вартістю близько $ 40.

Як не вкрасти 100 мільйонів «Фольксвагенів»

Гарненько покопавшись в якомусь неназваному компоненті автомобілів Volkswagen, дослідники виявили декілька однакових криптографічних ключів, які застосовуються в багатьох мільйонах «Фольксвагенів» - з 1995 року випуску і до моменту появи сьомого "Гольфа". Хоча в різних моделях різних років випуску використовуються кілька різних ключів, перебрати їх нескладно. Така операція займе буквально кілька секунд.

Після цього півсправи буде зроблено. Потім, озброївшись згаданої вище системою на базі Arduino і радиомодуля, хакери можуть «підслухати» інший ключ - унікальний для кожного окремого автомобіля. Брелок передає цей ключ, коли власник натискає кнопку «Відкрити». Пари цих ключів досить, щоб зробити копію брелока, відкриває і закриває машину.

«Підслухати» достатньо всього один раз, і для цього необхідно перебувати на відстані трохи менше 100 метрів від автомобіля. Тобто не треба наближатися до машини впритул і копатися поруч з нею в електронному обладнанні, так що поведінка потенційного зломщика буде непереливки оточуючим підозрілим.

Щоб викрадачі по всьому світу не кинулися розкривати «Фольксвагени», дослідники не розкривають, в яких саме компонентах слід шукати ті самі ключі. Вони лише уточнюють, що для різних моделей ці компоненти різні. Концерн Volkswagen в курсі проблеми, але особливо нічого вдіяти з нею не може.

Хороші новини: нехай відкрити машину таким чином можна, але викрасти її не вийде, оскільки її захищає іммобілайзер - система, яка не дозволяє автомобілю їхати без ключа. Погані новини: в іммобілайзера теж є уразливості , Які були виявлені ще в 2012 році. Якщо скористатися і ними теж, то, швидше за все, машину цілком собі вийде викрасти.

Ну а в сучасних «Фольксвагенах», починаючи з Golf VII, загальний ключ був замінений унікальним, що робить таку атаку неможливою.

Коментарі експерта

Експерт «Лабораторії Касперського» Сергій Зорін так оцінює цю ситуацію:

Як бачите, маючи потрібні навички і достатньо часу, зламати можна все що завгодно. Можливо, таким же або схожим чином можна відкрити автомобілі та інших марок. Однак не можна сказати, що автовиробники зовсім не дбають про інформаційну безпеку: так само легко зламати сучасні машини, на щастя, не вийде. Проте в автомобільній індустрії є деяка кількість проблем.

Проблема перша: за п'ять-сім років до випуску моделі автовиробники повинні спланувати все, в тому числі і захист системи безпеки, оскільки приблизно стільки займає її розробка. Стандарти безпеки і методи злому за цей час встигають піти далеко вперед.

Проблема друга: в силу технічних обмежень не завжди можна виправити всі недоліки в системі безпеки досить швидко і в таких масштабах, щоб повністю виключити всі ризики. Обидві ці проблеми можна вирішити, якщо впровадити механізми оновлення в нові покоління автомобільної електроніки. Тоді виробники змогли б патчить уразливості відразу після їх виявлення. Ми вважаємо, що нові покоління машин, які будуть запущені у виробництво через п'ять років, отримають можливість швидкого оновлення програмного забезпечення.

Третя проблема, з якою вже стикаються автовиробники, - це підключення до Глобальної мережі. В цілому ідея підключеної машини має на увазі, що якась кількість внутрішніх модулів обмінюються даними з зовнішнім світом. У каналах, по яких відбувається обмін інформацією, вже було знайдено кілька вразливостей.

Ми, як компанія, що займається інформаційною безпекою, вивчаємо цю область вже не перший рік, тому можемо з упевненістю сказати: з кожним роком вразливостей стає все більше. Так що автовиробникам і розробникам систем інформаційної безпеки слід об'єднати зусилля і сфокусуватися на цю проблему - чим раніше, тим краще.



Новости
  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью