Страховые компании всё чаще предлагают автовладельцам сэкономить на страховке, установив на автомобиль следящее устройство. Это якобы взаимовыгодное предложение: клиент меньше платит за страховку, а компания собирает статистику по использованию машины и делает вывод, следует повысить или понизить размер страховых взносов.

Однако, такие методы вызывают логичное сопротивление со стороны всех, кому не нравится слежка. Специалист по безопасности Кори Туен (Corey Thuen) из компании Digital Bond Labs много времени потратил на то, чтобы взломать автомобильный «жучок» Snapshot, который устанавливает одна из крупнейших страховых компаний Progressive Insurance, — и ему это удалось. Результаты своей работы хакер представил 14 января во время выступления на конференции по безопасности S4.

Следящие устройства Snapshot производства компании Xirgo Technologies установлены более чем на 2 млн автомобилях в США. Как выяснил Кори, эти гаджеты с интерфейсом OBD-II спроектированы при полном игнорировании требований безопасности. Подключив ноутбук напрямую к устройству, хакер получил контроль над разнообразными функциями автомобиля, в том числе к открытию дверных замков и запуску двигателя.

003

Для взлома пришлось сначала сделать копию встроенной прошивки «жучка» и провести её обратный инжиниринг. «Прошивка этого прибора минимальная и небезопасная, — пояснил автор. — Она не проверяет обновления и не использует цифровые подписи, не имеет режима безопасной загрузки, не имеет аутентификации по сотовой связи, не использует шифрования или какой бы то ни было защиты канала связи, нет защиты от запуска сторонних программ… в принципе, в нём вообще нет никакой защиты».

С помощью GSM-модема можно легко внедриться в канал связи между «жучком» и сервером страховой компании и подделать передаваемые данные. Другими словами, можно выбить себе самую дешёвую страховку.

9 комментариев

  1. 19.01.2015 at 16:50

    а почему к нас такие не используются??

  2. 19.01.2015 at 19:28

    А зачем, когда есть, ты? Бегаешь от статьи к статье на своих тоненьких ножках, забавно шевелишь усиками.

  3. 19.01.2015 at 21:05

    у нас скоро такие тоже будут использовать, уже даже рекламу видел

  4. 20.01.2015 at 02:21

    проще дать левый адрес и наврать стрикороба агенту чем ломать жучок и думать потом не попадешься ли…

  5. 20.01.2015 at 10:16

    Заметьте, вариант «аккуратно ездить» как-бы даже не рассматривается. 🙂

  6. 21.01.2015 at 11:57

    А если купть страховку и эту штуку из машины сразу выкинуть?

    • 23.01.2015 at 09:28

      До этого как ни странно ни один хакер кроме тебя не додумался

    • 23.01.2015 at 09:37

      А если серьезно, то девайс по обд2 считывает скорость обороты двигателя в принципе все. Определяет координаты по сотовым вышкам и возможно по gsm. Так что только эмулятор или модификация прошивки.эмуль проще.т.е. скорость занижаешь. маршрут передаешь оператору с задержкой чтобы растянуть временные интервалы.если будет авария ты должен будешь выдернуть акб и воткнуть обратно оригинального жука.

Оставить мнение