În acest subiect a fost urmărit un studiu de caz în care doi specialisti in securitate informatica dar mai ales in exploatarea insecuritatii sistemelor de control instalate pe masinile moderne au preluat controlul unui Jeep Cherokees in trafic, folosind o vulnerabilitate de tip 0-day. Acestia estimeaza ca peste 470,000 de masini sunt vulnerabile la acest atac.

Cei doi specialisti, Charlie Miller – Security Researcher Twitter si Chris Valasek – Director al departamentului de Vehicle Security Research de la IoActive, sunt cunoscuti in industrie pentru experimente similare pe Ford Escape si o Toyota Prius in anul 2013. Andy Greenberg, soferul masinii, nu a stiut dinainte ce comportament va avea masina in timpul „atacului”, ci doar i-a fost promis faptul ca nu se va intampla nimic care sa-i riste siguranta si viata.

Ce poate face sistemul dezvoltat de Miller si Valasek?

Arsenalul de optiuni dezvoltat de cei doi specialisti include deja numeroase functionalitati precum:
– accelerare sau decelarea masinii, franarea brusca a masinii sau dezactivarea completa a acestor sisteme
– controlul volanului, (in acest moment sistemul suporta controlul masinii doar cand este in marsarier)
– sistemul GPS, viteza, traseul samd.
– alte sisteme de pe masina precum aerul conditionat, ecranele din masina samd.

Toate acestea sunt posibile deoarece Chrysler, ca orice alta companie ce inoveaza domeniul automobilelor, incearca sa aduca masinile la simplitatea dar si tehnologia smartphone-urilor, iar tehnologia vine la pachet cu problemele de securitate.

Uconnect, unul dintre computerele integrate in masini precum Fiat Chrysler, SUV-uri etc. are permanent acces la Internet. El se ocupa de controlarea sistemelor de navigatie, apeluri telefonice si puncte Wifi in masina. Daca cineva cunoaste IP-ul masinii, oricine ar putea avea acces la functionalitatile masinii.

Mai departe, atacul celor doi pivoteaza pe un alt cip de control al masinii unde instaleaza un firmware modificat. Firmware-ul dezvoltat de Miller si Valasek poate trimite comenzi prin intermediul retelei interne a masinii (CAN), putand astfel interactiona cu aproape toate componentele fizice ale modelului: motor, roti samd.

Cei doi specialisti suspecteaza ca orice Chrysler din 2013 pana in prezent ce prezinta unitatea de control Uconnect este vulnerabil la cel putin o parte din capabilitatile solutiei software dezvoltate de acestia.

Sursa articol: WorldIt Info