Araç donanımındaki güvenlik açıkları patladı, kullanmaya hala cesaretin var mı?
Gece geç saatlerde, belirli bir grup çalışmasından sonra, alt katta otobüs bekleyen bir kadın meslektaş gördünüz ve onu eve götürmeyi teklif ettiniz.
Arabada oturan güzel kadınlarla ruh haliniz güzellikle dolu. "Kardeş Liu, çok ilerlemişsin."
"Yani, bu en yeni akıllı araba makinesi. İşlevleri öncekilerden çok daha iyi. Temelde sesle çalıştırma."
"Vay canına, bu noktada çok pahalı görünüyor."
Güzel kadının inceleme gözlerinde, aniden şiştiniz ve küçük bir durum söylemek üzereydiniz, ancak bir domuz gibi çığlık atan bir bayan meslektaş eşliğinde araba aniden kontrolü kaybetti ve araba üç ani frene bastıktan sonra durdu. Titreyip çalan cep telefonunu kaldırıyorsunuz ve diğer taraftaki kişi küçümseyerek homurdanıyor.
Bitti, karısının kadın bir hacker olduğunu unuttu.
Arabada küçük bir şey var, kontrolden çıktı mı?
Bir arabanın bilgisayar korsanları tarafından uzaktan kumandası yeni bir şey değil. İster sayısız bilgisayar korsanı tarafından ele geçirilen Tesla, isterse saldırıya uğramış ve bağımlısı BMW ve Mercedes-Benz olsun, bu sefer yeni bir numara var.
A&H Bilgi Güvenliği Araştırma Enstitüsü Haite Laboratuvarı'ndan bir güvenlik uzmanı olan Wang Xin ve ekibi, kısa bir süre önce büyük yarışmanın sahnesinde 20 dakika içinde bir arabayı hacklemek ve belirlenen talimatları tamamlamak için meydan okudu. Wang Xin, yakın zamanda Leifeng.com ile bir araba hacklemenin yeni teknolojisini ortaya çıkarmak için özel bir röportajı kabul etti.
Akıllı OBD kutusu ile bir arabayı hacklemek sadece iki adımda gerçekleşir:
Öncelikle, araba ile iletişim kuran küçük bir cihaz yapın ve bu cihazı vücudun herhangi bir yerine saklayın. Örneğin, mıknatıs tabakasını arabanın dışına yapıştırın veya arabayı kontrol etmek için bagaja veya torpido gözüne atın. .
İkinci olarak, araba çalışır, kısa mesajla veya başka yollarla bir saldırı komutu gönderir ve araba komutu yürütür.
Yolda giden bir araba bu şekilde hackerlar tarafından saldırıya uğrarsa isabet olur, eski bir sürücü de olsanız arabanız devrilir. Sigorta almak için acele etmeyin mi?
"Siyah" arabaların şifresini çöz
bunu nasıl yaptın?
Hacklenen araba-OBD araba akıllı kutusunda aslında bir "aracı" olduğu ortaya çıktı.
Ortak OBD araba akıllı kutusu, aracın temel bilgilerini, motor devrini, su sıcaklığını, yakıt tüketimini okuyabilir ... esas olarak otomobilin araç durumunun kendi kendini kontrol etmesi ve izlemesi için kullanılır; sahibinin sürüşünü geliştirmek için yol durumu yayınını, elektronik gözü, baş üstü ekranı vb. Sürüş alışkanlıklarını optimize etmek için sürüş davranışlarını deneyimleyin ve kaydedin. Ek olarak, uzaktan izleme, sürüş servisi ve uzaktan kurtarma gibi bazı şekillendirilebilir işlevler vardır.
OBD kutusunun giriş ve çıkışının mantığı, motorun arabanın kalbi olması ve OBD kutusunun kalbi kutunun içindeki MCU olmasıdır.CAN veriyolu üzerinden 16 pimli bağlantı noktası aracılığıyla arabanın her ECU'sunun verilerini işler ve analiz eder ve ardından Bluetooth (veya diğer Bağlantı yöntemi) cep telefonu uygulamasına gönderilir ve cep telefonu aracılığıyla araç sahibine sunulur.
Başka bir deyişle, aracın kendisi araç sistemine bağlanabilir ve çoğu cep telefonu Uygulama kontrol işlevleri sağlar.Bu uygulamalar belirli kötü niyetli işlemleri gerçekleştirmese de, bir çıkış yolu bırakır. Mühürlenmedikleri zaman, Kötü adamlar aracı kontrol etme hakkını alır.
Bu kez, Wang Xinnin ekibi bu kanalı istismar etti ve OBD kutusu güvenlik açığı, saldırı talimatlarının araç içi ağa gönderildiği bir saldırı portalı haline geldi.
Arabaya takılan gizemli küçük cihaz nedir?
Wang Xin,
Çeşitli markaların OBD kutularının zafiyetini test etmenin yanı sıra SMS kullanarak uzaktan saldırılar gerçekleştirmek için küçük bir donanım parçası yaptılar, bu küçük saldırı donanımını vücuda yapıştırdılar ve SMS'i demonstrasyon saldırı komutu olarak gönderdiler ve küçük cihaz saldırı komutunu alıp geri gönderdi. Araba bir saldırı başlatır ve saldırının kötüye kullanımı küçük donanımlarda gerçekleştirilir.
Anheng Haite laboratuvarı tarafından yapılan küçük donanım
Bu küçük donanım parçası bir uzaktan kumandaya eşdeğerdir ve bir komut aldığı sürece saldıracaktır.
Büyük canlı gösteride, gösteriyi daha gerçekçi hale getirmek için, yargıç Xu Hao bir "çukur" olarak hareket etti ve stadyumun dışındaki açık alana park etmiş aracı çalıştırdı.Sürüş sırasında, yarışmacı alev söndürme ve acil durdurmayı tamamlamak için aracı uzaktan kontrol etti. talimat. Yargıçlar güvenlik için kaplumbağa hızını canlı bağlantı yoluyla sürseler de, seyirci de arabadaki değişiklikleri görebilir.
Wang Xin, yarışma alanında uygulanan acil durdurma ve alevlenmenin sadece kısa mesajlarla tetiklenerek OBD kutusu aracılığıyla aracın iç kısmına saldırı talimatları gönderilmesi için küçük donanımların tetiklendiğini söyledi.Aslında OBD veri yolu üzerinden yapılabilecek tüm saldırılar gerçekleştirilebilir. Başka bir deyişle, bilgisayar korsanı size baktığı ve siz hala arabada oturduğunuz sürece, araba başka birinin oyuncağı haline gelir.
Yerinde SMS saldırı formundan bahseden Wang Xin, Leifeng.com'a SMS'in aslında yalnızca uzaktan saldırı senaryolarına ulaşmanın bir yolu olduğunu söyledi ve ayrıca araç hızı belirli bir hızı aştığında otomatik saldırılar gibi başka bir senaryo da kurdular. Ek olarak, başlangıçta, OBD kutusunun donanım yazılımını doğrudan güncellemek için güvenlik açıklarını kullanmayı ve otomatik saldırılara ulaşmak için arka kapıyı yerleştirmeyi düşündük.Bu senaryo, ilgili küçük donanımın vücuda takılmasını bile gerektirmiyor.
Saldırıya uğradıysam ne yapmalıyım?
2015 verilerine göre piyasada 3000 adede kadar OBD kutusu bulunmakta ve piyasada bulunan OBD kutuları donanım olarak oldukça homojen hale gelmektedir.Android telefonlar gibi herkes aynı parça tedarikçisini kullanmaktadır. Yani bu açıdan pek bir fark yok. Aradaki fark, her üreticinin kendi tasarlanmış yazılım uygulamasına sahip olmasıdır.
Wang Xin, büyük canlı gösterinin zaman sınırı nedeniyle gösteri için iki marka seçtiklerini söyledi. Ön test sürecinde, çoğu yerli OBD kutusu markasının bu güvenlik boşluğuna sahip olduğu keşfedildi, hatta bir endüstri boşluğu olan standart fonksiyon uygulama formülasyon seviyesinde kusurlar olduğu bile söylenebilir.
Leifeng.com, yukarıda belirtilen sorunların Youjia, Tuba, XTOOL, Luqi ve ELM327 gibi tüm otomobil markalarında testlerden sonra bulunduğunu öğrendi.
Akıllı ağa bağlı arabalar genel trend haline geldi ve araba ekipmanı arabalar için gittikçe daha gerekli hale geldi.Hackerlar bu güvenlik açığını saldırmak için kullandıktan sonra, sonuçlar filmdeki zombi sahnelerinden daha az olmayacak. Sıradan bir kullanıcı olarak, gerçekten endişeleniyorsanız, aracı ve ekipmanı geçici olarak bırakabilir ve üreticinin güvenlik açığını gidermesini bekleyebilirsiniz.
OBD, Uconnect veya Uygulama gibi saldırı talimatları yalnızca bir giriş noktası sağlar. Arabalara saldırılabilecek noktalar şunlardır: biri giriş, diğeri iç güvenlik stratejisidir. Girişte yetersiz güvenlik önlemleri ve çok fazla açık yetki, bilgisayar korsanlarına fırsat verir ve aracın iç güvenlik stratejisinin belirlenmesi temeldir ve ayrıca araba şirketlerinin düşüncelerini harcamasını gerektirir.
Ama sizce aracın uzaktan kontrol edilebildiği tek girişler bunlar mı? Bu çok genç ve çok basit.Aslında daha iyi bir yol metroya binerek para ve zamandan tasarruf etmektir.
