Výrobcovia automobilov v súčasnosti skutočne nezažívajú šťastné obdobie, keď má softvérové problémy ďalšia automobilka.
Po sérii troch softvérových chýb spôsobujúcich technické problémy na vozidlách Ford, Range Rover a Toyota a dvoch bezpečnostných chybách, ktoré umožňujú hacknutie Fiatov Chrysler a ďalšej nešpecifikovanej značky, prichádza v júli informácia o softvérových problémoch už šiestej značky, amerického GM.
Problém objavil bezpečnostný expert Samy Kamkar a základné informácie poskytol Wired, kompletné detaily plánuje zverejniť na hackerskej bezpečnostnej konferencii Defcon na začiatku augusta.
Problém u GM je podobný ako na začiatku roka zverejnený problém v BMW, tentokrát ale nie je zraniteľný priamo softvér vo vozidlách ale mobilná aplikácia používaná na jeho ovládanie.
Systém GM OnStar RemoteLink je podobne ako obdobné systémy u iných značiek určený pre pripojenie sa vozidla k Internetu a poskytovanie inteligentných funkcií ako odomknutie vozidla na diaľku z mobilnej aplikácie. Mobilná aplikácia sa pripája k serverom GM a tie následne inštrukcie zasielajú vozidlu.
Demonštrácia útoku na GM Onstar RemoteLink (video: Samy Kamkar)
Mobilná aplikácia síce používa pripojenie zabezpečené SSL, neoveruje ale certifikáty serverov a voči komunikácii medzi ňou a servermi GM je tak možné uskutočniť Man-In-The-Middle útok. Na tento účel zostrojil Kamkar WiFi hotspot označený OwnStar, ktorý po pripojení mobilu majiteľa vozidla GM a spustení aplikácie GM pre ovládanie vozidla odchytí a získa potrebné autentifikačné údaje a odošle ich Kamkarovi cez mobilnú sieť.
Tieto údaje je možné následne využiť na pripojenie sa k serverom a ovládanie vozidla rovnako ako to aplikácia umožňuje jeho originálnemu majiteľovi. Útočník tak môže napríklad sledovať polohu vozidla, odomknúť vozidlo, naštartovať motor, zapnúť trúbenie a svetlá. Nemôže ale zaradiť rýchlosť a ani s autom odísť, k tomu je potrebný kľúč.
OwnStar môže útočník umiestniť na vozidlo, do ktorého sa chce dostať. OwnStar vytvára otvorený hotspot s menom siete, do ktorej sa pripája veľa užívateľov, konkrétne "attwifi" ako WiFi v Starbucks. Smartfón majiteľa vozidla sa tak môže automaticky pripojiť k tejto sieti a ak majiteľ počas pripojenia k tejto sieti spustí aplikáciu GM, útočník získa autentifikačné údaje a prístup do vozidla.
Zraniteľnosť a útok sú tak komplikovanejšie ako priama zraniteľnosť v softvéri vozidla, keď vyžadujú relatívne komplikovaný útok s niektorými predpokladmi. Útok je ale zároveň dostatočne praktický, keď aplikáciu GM len pre Android si už stiahlo 1 až 5 miliónov ľudí a zraniteľnosť je prítomná aj vo verzii aplikácie pre iOS.
Na druhej strane je zraniteľnosť automobilkou jednoducho odstrániteľná aktualizáciou mobilnej aplikácie, v porovnaní s náročnou aktualizáciou softvéru automobilov u iných značiek s problémami. Podľa Kamkara GM už na vydaní aktualizovanej aplikácie pracuje.
zaujimalo by ma, naco je komu realne funkcia "odomknutie auta cez aplikaciu"? - to vytiahnem telefon, odblokujem, spustim aplikaciu a dam "odomknut"? aaaaaaaaaaa
no pride mi to take homo orientovane.. ze tuk tuk tuk.. a otvorim auto..
ja to mam na gombik, bezdratovo, mam vo vrecku kluce, stalcim gombik, otvori sa, nastartuje sa..
ale aplikaciu by som nikdy nechcel, je to bezpecnostne riziko, lebo mobil sa jednoducho pokazi, vybije a co potom?
je to take... cool.. metrosexualne.. ale absolutne nahovno v realite resp smiesne..
Akože naozaj sila. Nechápem ktorý inteligentý programátori napísali aplikáciu ktorá takto komunikuje cez SSL. Strašné. A GM ich určite platí 5x viac než koľko zarába bežný Slovák-programátor...
Re: hovadiny
Od: neviem meno
|
Pridané:
31.7.2015 8:54
Nebude. To sú len fantasmagórie pretechnizovaných blbcov. Reálne užitočné využitie = 0. Rovnako ako hento v tých autách. Na kieho boha to tam dávaju? Ja potrebujem auto, nie tablet na kolesách čo ešte asi aj na fasabook je pripojený
Re: hovadiny
Od reg.: Večný_študent_s_podtržníkmi
|
Pridané:
31.7.2015 9:35
Ale tu nikoho nezaujíma či to má alebo nemá praktické využitie. Ak sa to bude predávať tak to môže každý kašlať. Ak by sa predávali tabletky nato aby si hipster mohol odmerať ph hov*a tak to vyrobia. Nevadí že by to bola totálna kkcina ale sú z toho €€.
Takže preto sú autá ako pojazdné smartfóny. No a čo že to k životu šofér nepotrebuje. Kupuje sa to kupuje = budeme to tam montovať.
Dopyt určuje ponuku. Či ponuka dopyt... či ako to je.
Ak mi hentá kozatá ricina dá tak mi je jedno že to nepotrebujem k životu. Idem do toho.
Re: hovadiny
Od: neviem meno
|
Pridané:
31.7.2015 10:14
Kravina. Aj po 3D a SMART televizoroch je dopyt a preto to vyrábaju? Nie, proste to tam výrobcovia dávajú. Milión nadstaviev v Androide je preto lebo je po tom dopyt? Zasa nie, všetci na to iba nadávajú. Ale aj tak to tam výrobcovia dávaju..
Re: hovadiny
Od: to mas pravdu
|
Pridané:
31.7.2015 12:17
to mas pravdu, takto rozmyslaju menezeri: predava sa to, tak to ideme vyrabat. A marketingari: vymysleli sme to, tak sa to musi vyrabat a predavat. A vsetci to maju. Takze preco sa to predava a je po tom dopyt? Lebo vsetci to maju a ine nezozenies. A to ma najviac sere, ze ked jeden vymysli nejaku vtakovinu, vsetci to okopiruju a nasilu pretlacia.
neprihlásený 
