A modern autókban komoly képességű fedélzeti számítógépek dolgoznak, ahogy pedig egyre több digitális eszközt és szolgáltatást zsúfolnak a legújabb modelljeikbe az autógyártók, egyre fontosabbá válik az informatikai biztonság kérdése vezetés közben - írja az Ars Technica.
Sajnos azonban, az internetre kapcsolódó háztartási eszközökhöz és az úgynevezett dolgok internetéhez (Internet of Things - IoT) tervezett eszközökhöz hasonlóan, egyelőre nem túl fényes az IT-biztonsági pedigréje az autógyártóknak. Az IoT-eszközökkel kapcsolatos probléma már jó ideje ismert: sajnos gyakran fordul elő, hogy egy háztartási gépgyártó az okos funkciókhoz szükséges hardvert és szoftvert külső gyártótól szerzi be.
Ilyenkor pedig a költséghatékonyság kerül előtérbe, azaz, a profit maximalizálásának reményében a gyártók igyekeznek a lehető legolcsóbban megúszni az új alkatrészek beépítését. Ennek viszont az az ára, hogy gyakran elavult, biztonsági résekkel terhelt megoldások kerülnek a sokszázezres okoskütyükbe. Ezeket pedig gyerekjáték feltörni: a probléma mértékét remekül példázza, hogy létezik kifejezetten az ilyen, rosszul biztosított IoT-eszközöket listázó keresőmotor is, az eszközök feltöréséhez pedig ma már szinte semmiféle informatikai tudásra sincs szükség, mivel ezt a feladatot már felhasználóbarát célszoftverekkel is meg lehet oldani.
Hasonló a helyzet az autóknál is, azzal a különbséggel, hogy, míg bárki megteheti, hogy nem vásárol otthonra intelligens hűtőszekrényt vagy mosógépet, autóvásárlásnál már nem ilyen egyszerű a helyzet. Az internethez csatlakozó járműveket az angol connected vehicles kifejezéssel írják körül, ez pedig sok mindent takarhat. Elképzelhető, hogy egy autóban internetes rádióadások vételére alkalmas médialejátszó található, de ma már az autóipartól nem idegen az olyan technológiák használata sem, mint a wifi, a Bluetooth, az NFC. Ráadásul, a hackertámadások sem teljesen újkeletűek: két kutató már 2015-ben demonstrálta, hogyan tudják átvenni az irányítást egy Jeep Cherokee felett. A hackertámadás során egész egyszerűen kiiktatták a jármű fékrendszerét, a Uconnect fedélzeti infotainment-rendszeren keresztül. Testvérlapunk, a PCWorld pedig 2016-ban írta meg, hogy egy laptoppal pár perc alatt ellopható egy modern autó.
Autóvásárláskor kevés olyan ember van, aki azt nézi, mennyire biztonságos az adott jármű informatikai rendszere. Azonban, még, ha valaki el is kerülné az internetkapcsolattal ellátott autókat, nem biztos, hogy ezt egyáltalán megteheti: az Európai Unióban például már egy ideje kötelező az új autókat ellátni az eCall vészjelző-rendszerrel, amely automatikusan képes értesíteni a 112-es segélyhívót, ha a jármű balesetet szenved.
Az ember azt gondolná, a 7-8 évvel ezelőtti cikkek láttán, hogy az IT-biztonságot már megerősítették az autógyártók. Valószínűleg ezért vállalkozott rá Sam Curry IT-biztonsági kutató, hogy 2022 végén megvizsgálja egy sor autógyártó modelljeinek informatikai biztonságát. A szakember nem végzett félmunkát: 16 autómárka (Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls-Royce, Ferrari, Ford, Porsche, Toyota, Jaguar, Land Rover) és 3 fedélzeti rendszer (Spireon, Reviver és a SiriusXM műholdas rádiószolgáltató) sérülékenységeit vizsgálta meg. Az eredmény riasztó: Curry szinte mindenhol talált kihasználható biztonsági réseket.
A kollégáimmal rájöttünk, hogy az elmúlt 5 évben gyártott autókban nagyjából hasonló funkciókészlet található. Ha egy támadó felfedezi a biztonsági réseket [...] működésbe hozhatja a dudát, a fényszórókat, követheti az autó helyzetét, kinyithatja vagy bezárhatja az ajtókat, de akár a motort is beindíthatja vagy leállíthatja, mindezt távolról
- mondta Sam Curry.
A kísérlet során találtak olyan autókat, ahol elég volt az alvázszám ismerete, és máris működésbe lehetett hozni a motort, nyitni-zárni az autókat vagy épp követni a jármű helyzetét. Egyes gyártóknál a tulajdonos online felhasználói fiókjához is hozzá tudtak férni, de volt olyan autó is, amelynek a kameráit tudták működtetni a hackerek.
Ennél ijesztőbb az Egyesült Államokban népszerű LoJack helymeghatározó rendszert fejlesztő Spireon esete, ahol a hackerek teljes adminisztrátori jogosultságokat tudtak szerezni, amellyel potenciálisan 15,5 millió autónak küldhettek volna utasításokat, beleértve az ajtók nyitását, zárását, vagy a motor elindítását. Curry azonban azt is elárulta, hogy a biztonsági rést kihasználva egy amerikai állam rendőrautóihoz is hozzá tudtak volna férni.
Tavaly októberben írtunk róla, hogy Kaliforniában engedélyezték a digitális rendszámtáblákat - Sam Curry-nek ezt a rendszert is sikerült feltörnie. Az adminisztrátori jogok megszerzése után bármelyik e-ink rendszámtábla tartalmát képes volt módosítani, de az egyes járművek helyzetét is nyomon tudta követni.
Curry vizsgálódásának köszönhetően az érintett autógyártók megkezdték a biztonsági rések kijavítását, ez azonban sovány vigasz a tulajdonosoknak és az autóvásárlóknak, akiknek jelenleg nem sok választási lehetősége van, ha az informatikai biztonságot is szem előtt szeretnék tartani. A megoldást az autók IT-biztonsági besorolása jelentené, ez a szabvány azonban egyelőre még nem létezik.