Video: How to Hack a Car: Phreaked Out (Episode 2) (Temmuz 2024)
Araba korsanlığı son zamanlarda çok sayıda manşet yarattı, belgelenmiş bir olay olmasına rağmen (beş yıl önce içerideki bir işti).
Şimdi, OBD-II dongles olarak da bilinen bir aracın Onboard Diagnostic Port II'ye takılan satış sonrası bağlı araç cihazlarına dikkat çekildi. Cihazlar birkaç yıldan beri kullanılmakta ve 1996'dan sonra ODB-II portu ile üretilen araç sahiplerinin bağlantı kurmasına izin vermektedir. Büyük oto sigorta şirketlerinden bir düzine kadar bir düzine kadar şirketler tarafından, sürüş stillerinin ve yakıt ekonomisinin izlenmesinden gençlerin izini süren gençlere kadar her şey için teklif ediliyor.
Corvette Frenlerini Kesme
Bu hafta düzenlenen bir güvenlik konferansı öncesinde, San Diego'daki Kaliforniya Üniversitesi'nden (UCSD) araştırmacılar, geç bir model Corvette'ye takılan bir OBD-II dongle'a kablosuz olarak nasıl girebileceklerini açıkladılar. Otomobilin ön cam sileceklerini açan ve frenleri kesen bir cihaza SMS mesajları gönderdiler. Araştırmacılar, frenlerin kırılmasının, aracın tasarlanma şeklinden dolayı yalnızca düşük hızlarda yapılabileceğini belirlerken, saldırının direksiyon veya şanzıman gibi kritik bileşenleri devralmak için neredeyse tüm modern araçlara kolayca adapte edilebileceğini eklediler.
UCSD'nin bilgisayar güvenlik profesörü Stefan Savage, "Bunların bir kısmını satın aldık, onları tersine mühendislik yaptık ve bir dizi güvenlik eksikliğine sahip olduklarını keşfettik." Dedi. Dongles, "uzaktan uzaktan kumanda etmenin birçok yolunu sağlıyor … bağlı oldukları araçtaki hemen hemen her şeyi kontrol etmek" dedi.
UCSD araştırmacıları Metromile’i dongle’nın Haziran’daki kırılganlığına karşı uyardı ve şirket kablosuz olarak cihazlara bir güvenlik yaması gönderdiğini söyledi. Metromile CEO'su Dan Preston, Wired'a “Bunu öğrenir öğrenmez çok ciddiye aldık.” Dedi.
Yine de, Metromile güvenlik yamasını gönderdikten sonra bile binlerce dongle görülebilir ve hala kırılabilirdi, çünkü bunlar büyük ölçüde İspanyol filo yönetim şirketi Coordina tarafından kullanıldı. Ana şirket TomTom Telematics'ten yapılan açıklamaya göre Coordina, araştırmacıların saldırısına baktığını ve bunun yalnızca şirketin kullandığı dongle'lerin eski bir sürümü için geçerli olduğunu söyledi. Şu anda bu cihazlardan "sınırlı sayıda" değiştirme sürecinde.
Şirket ayrıca, cihazlarında SIM kartlara atanan telefon numarasının halka açık olmadığını ve UCSD araştırmacılarının saldırısında olduğu gibi kısa mesaj yoluyla ulaşılamadığını belirtti. Ancak araştırmacılar, bir SIM kartın telefon numarasını bilmeden bile, güvenlik güçlerinin kısa mesajlar göndererek kaba kuvvet saldırılarına karşı duyarlı olduklarını belirtti.
Son zamanlarda üretilen otomobil saldırılarının uzaktan araca uzaktan veya gerekli fiziksel erişime ulaşması aylar sürse de, bulut bağlantılı OBD-II dongle'larının güvenlik açıkları birkaç aydır biliniyor ve hacklenmelerinin çok daha kolay olduğu görülüyor. Ve sorun Mobil Cihazlar ürünleriyle sınırlı değil. Ocak ayında güvenlik araştırmacısı Corey Thuen, Progressive'in Snapshot cihazını hackleyebildi, siber güvenlik firması Argus'taki araştırmacılar Zubie OBD-II cihazıyla güvenlik açığı buldular.
Araştırmacılar, potansiyel saldırıların testlerinde kullanılan Corvette ile sınırlı olmadığını ve hemen hemen herhangi bir modern aracın direksiyonuna veya frenlerine, ön paneline takılı bir Mobil Cihazlar dongle'ı kullanıldığını düşünüldüğünü belirtti. UCSD araştırmacısı Karl Koscher "Sadece savunmasız olan bu araba değil" dedi.
Otomobil üreticilerine bağlı otomobillerde olduğu gibi, OBD-II dongle'lı bir aracın belgelenmiş kötü niyetli bir saldırısı henüz olmamıştır. Ancak araştırmacılar tehdidin gerçek olduğuna inanıyorlar ve üretim araçlarındaki bağlantıdan farklı olarak, satış sonrası cihazlar için hükümet gözetimi bulunmadığına dikkat çekiyorlar.
Savage, “Piyasada zaten var olan bunlardan bir demetimiz var” diye ekledi. "Tamamen uzaktan bir istismar gördüğümüz ve bu durumların hiçbir şekilde düzenlenemediği ve kullanımlarının artmakta olduğu göz önüne alındığında, bunun başka yerlerde sorun olacağına dair adil bir değerlendirme olduğunu düşünüyorum."
Koscher, "Arabanıza taktığınız şey hakkında iki kez düşünün, " dedi. “Düzenli tüketicinin cihazlarının güvenilir olduğunu bilmek zor değil, ama bu bir an için düşünmesi gereken bir şey. Bu beni daha fazla riske sokuyor mu?”
Bağlantılı tüketicilerin yıllardır sorduğu bir soru ve arabalarını OBD-II dongle üzerinden buluta bağlamak isteyen sürücüler de sormak zorunda kalacak.
