Zubie is een kleine doos die wordt aangesloten op de ODB-poort (On-Board Diagnostics) van de meeste moderne auto's. Gebruikers kunnen er achter komen hoe goed ze rijden en geven tips voor het verlengen van hun aantal kilometers met verstandig en zuinig rijden. En tot voor kort bevatte Zubie een ernstige veiligheidsuitval die gebruikers kwetsbaar kon maken voor het op afstand laten kraken van hun auto.
Het gat - ontdekt door alumni van Unit 8200, het elitaire cybersecurity-team van de Israëlische Defensiemacht - kan mogelijks aanvallers op afstand bemoeien met remmen, sturen en de motor.
Zubie maakt verbinding met een externe server via een GPRS-verbinding, die wordt gebruikt om verzamelde gegevens naar een centrale server te verzenden en om beveiligingsupdates te ontvangen.
De onderzoekers ontdekten dat het apparaat een van de hoofdzonden van netwerkbeveiliging beging en niet communiceerde met de basisserver via een gecodeerde verbinding. Als gevolg hiervan konden ze de centrale Zubie-server vervalsen en een aantal speciaal vervaardigde malware naar het apparaat verzenden.
Verdere details van de aanval staan hieronder en u zult blij zijn om te horen dat het probleem inmiddels is verholpen. Het roept echter een interessante vraag op. Hoe veilig zijn onze auto's?
Feiten scheiden van fictie
Voor velen is autorijden geen luxe. Het is een noodzaak
En het is een gevaarlijke noodzaak. De meeste mensen zijn maar al te bekend met de risico's van achter het stuur kruipen. Auto-ongelukken zijn een van 's werelds grootste moordenaars, met alleen al in 2010 1, 24 miljoen levens verloren op de weg.
Maar verkeersdoden nemen af en dat is grotendeels te danken aan de toegenomen penetratie van geavanceerde technologieën voor verkeersveiligheid. Er zijn veel te veel van deze om uitgebreid op te noemen, maar misschien wel het meest voorkomende voorbeeld is OnStar, beschikbaar in de VS, Canada en China.
De technologie - exclusief beschikbaar in GM-auto's en andere voertuigen van bedrijven die ervoor hebben gekozen om de technologie te gebruiken - bewaakt de gezondheid van uw auto. Het kan turn-by-turn aanwijzingen geven en kan automatisch assistentie verlenen als je erbij bent dan een ongeval.
Bijna zes miljoen mensen abonneren op OnStar. Talloze meer gebruiken een telematicasysteem, waarmee verzekeraars kunnen volgen hoe goed auto's worden bestuurd en verzekeringspakketten kunnen afstemmen om verstandige bestuurders te belonen. Justin Dennis heeft recentelijk iets vergelijkbaars besproken, genaamd Metronome by Metromile Volg je kilometers, brandstofkosten en meer met een gratis OBD2-apparaat Volg je kilometers, brandstofkosten en meer met een gratis OBD2-apparaat Tegenwoordig lijkt alles slim te zijn - behalve onze auto's. Dit gratis ODB2-apparaat en de app veranderen dat. Read More, dat gratis beschikbaar is voor inwoners van Washington, Oregon, Californië en Illinois. Ondertussen kunnen veel auto's na 1998 worden ondervraagd en gecontroleerd via de ODBII-diagnosepoort dankzij Android Hoe de prestaties van uw auto te bewaken met Android Hoe de prestaties van uw auto te bewaken Met Android Bewaking Een heleboel informatie over uw auto is ongelooflijk eenvoudig en goedkoop met uw Android apparaat - leer hier meer over! Meer lezen en iOS-smartphone-apps.
Aangezien deze technologieën alomtegenwoordigheid hebben bereikt, is ook het besef dat deze kunnen worden gehackt. Nergens anders is dat duidelijker dan in onze culturele psyche.
De 2008 Thriller Untraceable was prominent aanwezig met een auto die met OnStar was 'gemetseld' door de antagonist van de film om iemand in de val te lokken. In 2009 lanceerde het Nederlandse IT-bedrijf InfoSupport een reeks reclames waarin een fictieve hacker genaamd Max Cornellise op afstand auto-systemen hackt, waaronder een Porsche 911, die alleen zijn laptop gebruikt.
Dus, met zoveel onzekerheid over het probleem, is het belangrijk om te weten wat er kan worden gedaan en welke bedreigingen er op het gebied van science fiction blijven bestaan.
Een korte geschiedenis van auto-hacking?
Buiten Hollywood hebben veiligheidsonderzoekers een aantal behoorlijk enge dingen met auto's bereikt.
In 2013 demonstreerden Charlie Miller en Chris Valasek een aanval waarbij ze een Ford Escape en Toyota Prius in gevaar brachten en controle over de rem- en stuurinstallaties konden overnemen. Deze aanval had echter een groot nadeel, omdat het afhankelijk was van het aansluiten van een laptop op het voertuig. Dit stelde onderzoekers van veiligheid nieuwsgierig en vroeg zich af of het mogelijk was om hetzelfde te bereiken, maar zonder fysiek aan de auto te worden vastgemaakt.
Die vraag werd overtuigend beantwoord, een jaar later, toen Miller en Valasek een nog gedetailleerder onderzoek deden naar de veiligheid van 24 verschillende automodellen. Deze keer richtten ze zich op het vermogen van een aanvaller om een aanval op afstand uit te voeren. Hun uitgebreide onderzoek leverde een rapport van 93 pagina's op, dat op Scribd werd gepubliceerd om samen te vallen met hun vervolggesprek op de Blackhat-beveiligingsconferentie in Las Vegas.
Het suggereerde dat onze auto's niet zo veilig zijn als ooit werd gedacht, en dat veel auto's de meest elementaire cyberbeveiligingsbeschermingen ontbraken. Het vernietigende rapport benadrukte de Cadillac Escalade, Jeep Cherokee en de Infiniti Q50 als meest kwetsbaar voor een aanval op afstand.
Wanneer we specifiek naar de Infinity Q10 kijken, zien we een aantal grote fouten in de beveiliging.
Wat de Infiniti zo aantrekkelijk maakt als een auto, maakt het ook zo kwetsbaar. Net als veel andere high-end-auto's die de afgelopen jaren zijn geproduceerd, wordt hij geleverd met een reeks technologische functies die zijn ontworpen om de rijervaring aangenamer te maken. Deze variëren van sleutelloos ontgrendelen tot draadloze bandenspanningscontrole, tot een 'persoonlijke assistent' smartphone-app die op de auto is aangesloten.
Volgens Miller en Vlasek staan sommige van deze technologische kenmerken niet op zichzelf, maar zijn ze rechtstreeks verbonden met de systemen die verantwoordelijk zijn voor motorregeling en remmen. Dit laat de mogelijkheid open voor een aanvaller om toegang te krijgen tot het interne netwerk van de auto en vervolgens een kwetsbaarheid te misbruiken die zich in een van de essentiële systemen bevindt om te crashen of het voertuig te hinderen.
Dingen als ontgrendelen zonder sleutel en 'persoonlijke assistenten' worden snel beschouwd als essentieel voor chauffeurs, maar zoals Charlie Miller zo opvallend opmerkte, "het is een beetje eng dat ze allemaal met elkaar kunnen praten."
Maar we zijn nog steeds erg in de wereld van de theorie. Miller en Vlasek hebben een mogelijke weg gewezen voor een aanval, maar geen echte aanval. Zijn er voorbeelden van iemand die de computersystemen van een auto heeft weten te beïnvloeden?
Welnu, er zijn geen tekort aan aanvallen die zich richten op het ontgrendelen van sleutels zonder sleutel. Eerder dit jaar werd er zelfs één keer getoond op de Blackhat Security Conference in Las Vegas door de Australische veiligheidsonderzoeker Silvio Cesare.
Met slechts $ 1000 aan standaardgereedschappen kon hij het signaal van een sleutelhanger vervalsen, waardoor hij op afstand een auto kon ontgrendelen. De aanval is afhankelijk van iemand die fysiek in de buurt van de auto aanwezig is, mogelijk enkele uren, aangezien een computer en een radioantenne uitzendingen probeert om de ontvanger die in het keyless ontgrendelingssysteem van een auto is ingebouwd, bruut te forceren.
Nadat de auto is geopend, kan de aanvaller mogelijk proberen deze te stelen of zichzelf helpen met de onbeheerde items die door de bestuurder zijn achtergelaten. Er is veel potentieel voor schade hier.
Zijn er verdedigingen?
Dat hangt ervan af.
Er is al enige vorm van bescherming tegen de kwetsbaarheid voor externe toegang ontdekt door Charlie Miller en Chris Valasek. In de maanden na hun Blackhat-talk hebben ze een apparaat kunnen bouwen dat fungeert als een inbraakdetectiesysteem (IDS). Dit stopt een aanval niet, maar geeft eerder aan de bestuurder aan wanneer er een aanval gaande is. Dit kost ongeveer $ 150 in delen en vereist een beetje elektronica-knowhow om te bouwen.
De kwetsbaarheid van Zubie is een beetje lastiger. Hoewel het gat inmiddels is gepatcht, lag de zwakte niet in de auto, maar eerder in het apparaat van een ander apparaat dat eraan vast zat. Terwijl auto's hun eigen architecturale onzekerheden hebben, lijkt het toevoegen van extra's alleen maar de potentiële mogelijkheden voor een aanval te vergroten.
Misschien is de enige manier om echt veilig te zijn, een oude auto te besturen. Een die de uiterst geavanceerde toeters en bellen van moderne, hoogwaardige auto's mist en de drang om dingen in je ODBII-poort te duwen, weerstaat. Er is zekerheid in eenvoud.
Is het veilig om met mijn auto te rijden?
Beveiliging is een evolutionair proces.
Naarmate mensen meer inzicht krijgen in de bedreigingen rond een systeem, evolueert het systeem om zich tegen hen te beschermen. Maar de autowereld heeft zijn ShellShock niet nog erger gehad dan Heartbleed? Maak kennis met ShellShock: een nieuw beveiligingsrisico voor OS X en Linux erger dan Heartbleed? Maak kennis met ShellShock: een nieuw beveiligingsrisico voor OS X en Linux Lees meer of HeartBleed Heartbleed - Wat kunt u doen om veilig te blijven? Heartbleed - Wat kunt u doen om veilig te blijven? Lees verder . Ik stel me voor dat wanneer het zijn eerste kritieke dreiging ervaart - het is de eerste dag nul, als je wilt - autofabrikanten op gepaste wijze zullen reageren en stappen zullen ondernemen om de voertuigveiligheid wat rigoureuzer te maken.
Maar wat denk je ervan? Is dat een beetje optimistisch? Maak je je zorgen over hackers die je auto overnemen? Ik wil erover horen. Stuur me een reactie hieronder.
Foto's: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com