Хакеры демонстрируют умение взламывать современные автомобили не только на конкурсах, устраиваемых компанией Tesla. Исследователи Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek) поделились с изданием Wired своим достижением — парни научились удаленно взламывать автомобили концерна Fiat Chrysler, что и продемонстрировали максимально наглядно, «в поле», на мужественном редакторе издания Энди Гринберге (Andy Greenberg). Речь идет не о невинных шутках, вроде перехвата управления дворниками, исследователям удалось заблокировать управление и отправить Гринберга в кювет.

Атака, которую используют Миллер и Валасек построена на 0day уязвимости в системе Uconnect, которой оснащаются машины Fiat Chrysler. Данная система позволяет автовладельцу управлять машиной удаленно, используя смартфон. Можно на расстоянии завести двигатель, отследить автомобиль по GPS, отрегулировать температуру в салоне и произвести практически любое действие. Кроме того, Uconnect обладает достаточно полезными противоугонными функциями.

Однако исследователи уверяют, что Uconnect написана из рук вон плохо, в чем лично убедился редактор Wired. Пока хакеры спокойно сидели у Гринберга дома с ноутбуками, сам журналист находился за рулем Jeep Grand Cherokee. Хакеры попросили редактора «не паниковать», обещали не делать ничего опасного для его жизни, но поездка по городу выдалась сложной. Миллер и Валасек сначала перехватили управление системой контроля климата, дворниками и музыкой, а затем перешли к контролю над более серьезными системами. Как бы Гринберг ни нажимал на газ, обороты росли, но скорость неумолимо падала до смешных значений. Уже позже, вне оживленного трафика и хайвеев, хакеры показали Гринбергу, что так же легко могут заблокировать тормоза и рулевое управление. После этой демонстрации редактор Wired вместе с автомобилем оказались в кювете (на иллюстрации выше).

Подробности о баге обещают рассказать на конференции Black Hat, которая состоится в начале августа. Данные также обещают выложить в сеть. Пока хакеры пояснили, что «с точки зрения атакующего, уязвимость просто супер-крутая». Фактически любой, кто знает IP-адрес автомобиля, может делать с ним что угодно, используя Uconnect. Багу суммарно подвержены 471 000 машин автоконцерна, и не только 2015 года выпуска, уязвимы так же Dodge Ram, Dodge Viper, Dodge Durango и Jeep 2013-2014 годов выпуска.

Но вишенка на торте этой истории — тот факт, что концерн Fiat Chrysler выпустил патч, но отнесся к находке Миллера и Валасека прохладно. Работа над патчем заняла у концерта более девяти месяцев и теперь, когда он вышел, Fiat Chrysler, похоже, не планирует привлекать к проблеме внимание владельцев уязвимых машин. Автоконцерн скорее устроила бы ситуация, когда патч вышел тихо и прошел никем незамеченный. Так, чтобы обновиться, пользователям предлагается сначала посетить специальный сайт, скачать оттуда патч, залить его на флешку и потом, по сути, вручную перепрошить машину. Опционально можно посетить автомастерскую. Но чтобы проделать все это, нужно сначала узнать о проблеме. Вряд ли все автомобилисты каждый день читают Wired.

Официальное заявление Fiat Chrysler вообще звучит несколько натянуто: «Мы признательны ИБ специалистам за их вклад, который позволяет индустрии лучше понимать потенциальные уязвимости. Однако мы хотели бы предостеречь их, чтобы в попытках улучшить общественную безопасность, они, вместо этого, ее не скомпрометировали».

Фото: Wired



4 комментария

  1. ShadowHD

    22.07.2015 at 13:41

    Этим автомобилестроителям вообще надо руки отрывать за любую попытку вставить компьютеры в машины, а в эти компьютеры программные навороты. Компьютеры вечно самосборные, до такой степени, что выйдя что из строя — покупай полностью новый (конечно же, который есть только у самого производителя авто), а программный код им пишут студенты, пришедшие на двухнедельную практику (причем с курса автомеханики, а не программирования). С таким отношением вполне понятно, почему государства боятся разрешать выпускать масштабно беспилотные машины Гугла

    • writerim

      23.07.2015 at 07:21

      Все работает по принципу 20-80. Беспилотные автомобили это прекрасно — ни тебе быдла на дорогах, ни женщин с телефоном и прочего, что бесит рядовых обывателей дорог общего пользования. Основная проблема сейчас беспилотных автомобилей — отладка + юр.сторона. Как только они появятся у нас я сразу же возьму себе такой авто.

  2. mariolpru

    23.07.2015 at 10:03

    А ничего что в материале говорится, что журналист сидел в автомобиле град чероки и мол на снимке в начале материала запечатлен журналист в кювете на тестовом авто, а в кювете находится не гранд чероки, а обычный чероки?

  3. Genrix-936

    24.07.2015 at 14:20

    Могу добавить,
    что самые надежные авто
    почти по всем показателям ( не только из-за электроники)
    есть модели (имеется ввиду именно модели,а не год выпуска)
    выпущенные примерно до 2000 года.
    Это относится ко всем авто концернам!

Оставить мнение