Video: How to Hack a Car: Phreaked Out (Episode 2) (September 2024)
Bilhacking har gjort många rubriker den senaste tiden, även om det bara har skett en dokumenterad incident (som var ett inre jobb för fem år sedan).
Nu har uppmärksamheten vänt sig till eftermarknadsanslutna bilenheter som ansluts till fordonets Onboard Diagnostic Port II, även känd som OBD-II donglar. Enheterna har funnits i flera år och låter ägare av fordon som tillverkas efter 1996 med en ODB-II-port lägga till anslutning. De erbjuds av företag som sträcker sig från stora bilförsäkringsbolag till ett dussin nystartade företag för allt från övervakning av körstilar och bränsleekonomi till spårning av tonåringar medan de är bakom rattet.
Klippa en Corvette bromsar
Framför en säkerhetskonferens den här veckan avslöjade forskare från University of California i San Diego (UCSD) hur de trådlöst kunde hacka i en OBD-II-dongle ansluten till en senmodell Corvette. De skickade SMS till en enhet som slog på bilens vindrutetorkare och skar bromsarna. Medan forskarna noterade att hackning av bromsarna bara kunde utföras i låga hastigheter på grund av fordonets konstruktion, tillade de att attacken lätt kunde anpassas till nästan alla moderna fordon för att ta över kritiska komponenter som styrning eller växellåda.
"Vi skaffade oss några av dessa, omvända konstruerade dem, och upptäckte på vägen att de hade en hel massa säkerhetsbrister, " sa Stefan Savage, en UCSD-datorsäkerhetsprofessor som ledde projektet. Donglarna "ger flera sätt att fjärrstyra… kontrollera nästan vad som helst på fordonet de var anslutna till, " tillade han.
UCSD-forskarna varnade Metromile för dongels sårbarhet i juni och företaget sa att det trådlöst skickade en säkerhetsuppdatering till enheterna. "Vi tog detta mycket allvarligt så snart vi fick reda på det, " sa Metromile-vd Dan Preston till Wired .
Även efter att Metromile skickat ut sin säkerhetsuppdatering var tusentals donglar synliga och fortfarande hackbara, till stor del för att de användes av det spanska flottförvaltningsföretaget Coordina. I ett uttalande från moderföretaget TomTom Telematics sa Coordina att det tittade på forskarnas attack och fann att det bara gäller en äldre version av donglarna som företaget använder. Det är nu i processen att ersätta ett "begränsat antal" av dessa enheter.
Företaget noterade också att telefonnumret som tilldelats SIM-kort i dess enheter inte är offentligt och inte kan kontaktas via textmeddelande, som i UCSD-forskarnas attack. Men forskarna motverkade att även utan att känna till ett SIM-korts telefonnummer, är donglarna känsliga för brut-force-attacker genom att skicka ett spår av textmeddelanden.
Medan de senaste produktionsbilarna har tagit månader att utföra på distans eller krävt fysisk åtkomst till fordonet, har säkerhetsproblemen för molnanslutna OBD-II-donglar varit kända i flera månader och verkar vara mycket lättare att hacka. Och problemet är inte begränsat till produkter från mobila enheter. I januari kunde säkerhetsforskaren Corey Thuen hacka Progressives Snapshot-enhet, medan forskare på cybersäkerhetsföretaget Argus hittade säkerhetsbrister med Zubie OBD-II-enheten.
Forskarna noterade att potentiella hack inte är begränsade till Corvette som användes i sina tester, och att de tänkbart kunde kapa styrningen eller bromsarna på nästan alla moderna fordon med en Mobile Devices-dongle ansluten till dess instrumentbräda. "Det är inte bara den här bilen som är sårbar", sa UCSD-forskaren Karl Koscher.
Liksom med anslutna bilar från biltillverkare har det ännu inte funnits en dokumenterad skadlig hack av ett fordon med en OBD-II-dongel. Men forskarna tror att hotet är verkligt och noterar att till skillnad från anslutning i produktionsbilar finns det ingen regeringsövervakning för eftermarknadsenheter.
"Vi har en hel massa av dessa som redan finns ute på marknaden, " tillade Savage. "Med tanke på att vi har sett en fullständig fjärrutnyttjande och dessa saker inte regleras på något sätt och deras användning växer… Jag tror att det är en rättvis bedömning att det kommer att bli problem någon annanstans."
"Tänk två gånger på vad du ansluter till din bil, " varnade Koscher. "Det är svårt för den vanliga konsumenten att veta att deras enhet är pålitlig eller inte, men det är något de borde tänka på ett ögonblick. Är det att utsätta mig för mer risk?"
Det är en fråga som konsumenterna har ställt i flera år, och förare som vill ansluta sin bil till molnet via OBD-II-dongle måste nu också ställa.
