Máte své auto pod kontrolou? Houby s octem!
Podíl elektroniky, řídících prvků a softwaru na řízení a provozu vozidel se zvyšuje, a úměrně s tím roste hrozba hackerského útoku na ně. S rostoucím podílem elektroniky narůstá i škála zranitelností, které hackeři zneužívají k neoprávněném přístupu do vozidla nebo díky kterým mohou ovládnout jednotlivé systémy auta.
Výrobci automobilů dohánějí zpoždění
v zabezpečení proti hackingu, ve kterém pokulhávají za IT průmyslem
v řádu let.
Zabezpečení aut výrazně zaostává za IT sektorem
Hacking aut není nová záležitost, zpočátku
šlo zejména o jednoduché techniky napodobení dálkového odemykání aut.
S rostoucím množstvím elektronických prvků ve vozidlech ale stoupá i
jejich zranitelnost. Luxusnější moderní automobil v sobě skrývá stovky
elektronických prvků, více než čtyři kilometry kabelů a drátů a miliony řádků
softwarového kódu.
„V podstatě
jakákoliv vozidla, která v dnešní době opustí výrobní linku, obsahují
integrované obvody, které řídí různé funkce. Mezi kritické patří brzdy,
airbagy, bezpečnostní pásy apod. Může se jednat i o řízení spalování či
efektivní spotřeby, informace o poloze vozidla, ale i služby, zlepšující
komfort řidiče. Výrobci aut v poslední dekádě investovali prostředky do vývoje
elektroniky, která dělá vozidla efektivnější, pohodlnější i ekologičtější.
S nárůstem objemu elektroniky a obslužného programového vybavení se úměrně
rozrůstají možnosti útočníka, který se může pokusit danou funkčnost zneužít ve
svůj prospěch,“ říká Michal
Merta, ředitel pražského Cyber Fusion Centra společnosti Accenture.
Začalo to bezklíčkovým odemykáním
Hackeři se v první řadě zaměřují
na to, z čeho mohou mít přímý užitek. Proto se hlavní zájem soustřeďuje
ještě stále na to, jak vozidlo odcizit. U bezklíčkových systémů odemykání se
většinou zloději snaží odposlechnout a napodobit sekvenci signálů, které majitel
vozidla vyšle.
Jakmile výrobci zareagovali tím, že
pevnou sekvenci signálů vysílaných ovladačem nahradili variabilní plovoucí
sekvencí, útočníci nasadili dlouhodobější odposlouchávání a prediktivní metody
odhadu potřebného sledu signálů. S využitím bezklíčkových mechanismů
startování vozidla si poradili spoluprací dvou hackerů se dvěma rádii, která
imitují vysílání nízkých a vysokých frekvencí, které probíhá při přiblížení
majitele s ovladačem a stisku tlačítka startování.
Problém s hackingem aut je
zejména v tom, že je možné ovládnout systémy, jejichž nefunkčnost přímo ohrožuje
lidské životy. Lze zneužít senzory monitorující tlak v pneumatikách, takže
vysílají varovné signály nebo zamezí vozidlu v další jízdě. Ovládnout lze
dokonce celý infotainment automobilu, jak tomu bylo při nejznámějším
simulovaném hackingu Jeepu Cherokee, který útočníci v rámci demonstrace donutili
při jízdě na dálnici zrychlovat a zpomalovat, při pomalé jízdě paralyzovali
brzdy, a posléze auto zcela odstavili z provozu.
S konektivitou rostou možnosti hackerů
„Většina automobilů
je dnes vybavena internetovým připojením. To ho ale vystavuje většímu nebezpečí
vzdálených útoků. Na letošní konferenci Black Hat ukázali odborníci z týmu
Sky-Go další úspěšný hack automobilu. Šlo o Mercedes-Benz třídy E, v jehož
softwaru byl nalezen více než tucet zranitelností, což útočníkům umožnilo vzdáleně
otevřít dveře nebo nastartovat motor,“
říká Ondřej Ševeček, odborník na bezpečnost z Počítačové školy GOPAS a dodává:
„Stále více zařízení obsahuje čipy, které shromažďují a odesílají informace
nebo jsou dokonce zapojené do firemních sítí a cloudových řešení, a jejich
zabezpečení je velkou výzvou pro odborníky na kybernetickou bezpečnost.“
Přes auta se dají napadat i další
systémy. Příkladem je možnost průniku do domácích a firemních sítí
prostřednictvím nabíjecích zařízení pro elektromobily. V nedávno zveřejněném testu
odborníci prověřili nabíječky několika značek a ukázalo se, že u několika
z nich by sofistikovanější útok umožnil hackerovi přístup do Wi-Fi sítě.
Následně by pak bylo možné sledovat provoz v síti nebo dokonce ovládnout
zařízení, která jsou do ní připojená. Navíc získání vzdáleného přístupu k
nabíječce do auta znamená, že útočník nad ním získá plnou kontrolu, tedy i
zablokuje přístup majiteli.
Zveřejněno: 11. 10. 2021