Przejęcie kontroli nad samochodem Jeep Cherokee – komentarz Kaspersky Lab

We wtorek media z branży bezpieczeństwa informatycznego burzliwie dyskutowały nad jedną kwestią. Po raz pierwszy w historii badacze wykorzystali lukę umożliwiającą zdalne przejęcie samochodu połączonego do internetu. Do zademonstrowania zdalnego ataku wykorzystano komputer pokładowy znajdujący się w samochodzie Jeep Cherokee. Badacze Charlie Miller oraz Chris Valasek poinformowali, że znaleźli lukę w systemie rozrywki. Umożliwiła im ona nie tylko uzyskanie dostępu do mniej istotnych ustawień, ale także przejęcie kontroli nad samochodem. Początkowo kierowca samochodu nie mógł sterować klimatyzacją, radiem i wycieraczkami. Ostatecznie na zachowanie auta większy wpływ mieli badacze niż kierowca.

Luka została podobno wykryta w systemie pokładowym Uconnect, który komunikuje się ze światem zewnętrznym za pomocą sieci mobilnej Sprint. Jeśli doniesienia są prawdziwe, atak dowodzi, że wystarczy znać zewnętrzny adres IP atakowanego celu, aby nadpisać kod komputera pokładowego i przejąć kontrolę na samochodem.

Błędy można znaleźć wszędzie tam, gdzie istnieje system operacyjny i są zainstalowane aplikacje. Producenci powinni traktować kwestie bezpieczeństwa aut tak samo, jak odbywa się to w przypadku firmowej sieci czy komputerów.

Kaspersky Lab wierzy, że aby uniknąć takich incydentów, podczas projektowania inteligentnej architektury pojazdów należy kierować się dwiema podstawowymi zasadami: izolacja i kontrolowanie komunikacji. W pierwszym przypadku chodzi o to, aby niemożliwe było oddziaływanie na siebie dwóch oddzielnych systemów (np. system rozrywki nie powinien wpływać na system kontroli, tak jak miało to miejsce w Jeepie Cherokee). Z kolei kontrolowanie komunikacji oznacza, że podczas przesyłania i akceptowania danych przesyłanych z pojazdu oraz do niego należy stosować szyfrowanie i autoryzację. Biorąc pod uwagę eksperyment, można wnioskować, że albo algorytmy autoryzacji były słabe/dziurawe, albo szyfrowanie nie było poprawnie wdrożone.

Odpowiednia łata do wspomnianej luki została opublikowana w zeszłym tygodniu. Wszyscy posiadacze samochodów produkcji Fiat Chrysler Automobiles powinni skontaktować się ze swoim dilerem w celu zainstalowania aktualizacji.”