Bilen din er mer sannsynlig å bli hacket av din mekaniker enn en terrorist Lego mekaniker kan se søt og uskyldig, men hva skjuler dette smilet egentlig? Flickr / Jeff Eaton, CC BY-NC-SA

Når det gjelder bilhacking, bør du være mer bekymret for dodgy forhandlere enn engang hackere med kriminell hensikt.

Hollywood ville ha oss til å tro at våre biler er ekstremt sårbare for hackere. En hacker logger eksternt inn i bordcomputeren til en bil på skjermen i et showroom, noe som fører til at bilen brister gjennom glasset ut på gaten - bare i tide for å blokkere en biljakt.

Bil hacking scene i Hollywood blockbuster The Furious of the Furious.

Og forskere har hatt en viss suksess ved å kopiere et slikt scenario. I 2015 ble overskrifter gjort over hele verden når sikkerhetsforskere var i stand til å hacke en Jeep Cherokee. De fjernstyrte alt fra vindusviskere og klimaanlegg til bilens evne til å akselerere. I siste instans krasjet de bilen på et nærliggende embankment, som sikkert avsluttet eksperimentet.

innerself abonnere grafikk

Hvis du trodde alt som er skrevet siden, ville du tro at vi alle kjører rundt i ulykker som venter på å skje. I et øyeblikk varsel kunne noen kriminelle hacke kjøretøyet ditt, gripe kontroll og drepe alle inni.

Mens denne trusselen kan eksistere, har den aldri skjedd i den virkelige verden - og den er betydelig overhypet.

Biler styres nå av datamaskiner

Dagens kjøretøy er et komplisert system med sammenkoblede elektriske delsystemer, der tradisjonelle mekaniske tilkoblinger er erstattet med elektriske motstykker.

Ta til gasspedalen, for eksempel. Denne enkle enheten pleide å være styrt av en fysisk kabel forbundet med en ventil på motoren. I dag styres det av driv-by-wire-systemet.

Under et kjøre-ledningssystem styres gasspjeldets posisjon av en datamaskin. Denne datamaskinen mottar signaler fra akseleratoren og instruerer tilsvarende en liten motor som er koblet til gassventilen. Mange av de tekniske fordelene er ubemerket av en typisk forbruker, men dette systemet tillater en motor å kjøre mer jevnt.

En feil i stasjonssystemet ble mistenkt for å være årsaken til utilsiktet akselerasjon i 2002 Toyota-kjøretøy. Feilen resulterte i minst en dødelig krasj, i 2017, blir avgjort utenfor retten. En analyse bestilt av US National Highway Traffic Safety Administration kunne ikke utelukke programvarefeil, men fant betydelige mekaniske feil i pedaler.

Disse var i siste instans feil i kvalitet, ikke hackede biler. Men det introduserer et interessant scenario. Hva om noen kunne programmere gasspedalen uten din kunnskap?

Hakk datamaskinen og du kan styre bilen

Ryggraden i dagens moderne sammenhengende kjøretøy er en protokoll som kalles et Controller Area Network (CAN-buss). Nettverket er bygget på prinsippet om en hovedstyringsenhet, med flere slaveenheter.

Slaveapparater i bilen vår kan være alt fra bryteren på innsiden av døren, til taklyset, og til og med rattet. Disse enhetene tillater innganger fra masterenheten. Mesterenheten kan for eksempel motta et signal fra en dørbryter og basert på dette, send et signal til taklyset for å slå det på.

Problemet er at hvis du har fysisk tilgang til nettverket, kan du sende og motta signaler til alle enheter som er koblet til den.

Mens du trenger fysisk tilgang for å bryte nettverket, er dette lett tilgjengelig via en innebygd diagnoseport som er skjult ute av syne under rattet ditt. Enheter som Bluetooth, mobiltelefon og Wi-Fi, som legges til biler, kan også gi tilgang, men ikke like enkelt som bare å plugge inn.

Bluetooth har for eksempel bare et begrenset område, og for å få tilgang til en bil via Wi-Fi eller mobil, trenger du fortsatt kjøretøyets IP-adresse og tilgang til Wi-Fi-passordet. Jeep hacken nevnt ovenfor ble aktivert av svake standard passord valgt av produsenten.

Skriv inn den ondsinnede mekanikeren

Fjernbilhacker er ikke særlig enkle, men det betyr ikke at det er OK å bli lokket inn i en falsk følelse av sikkerhet.

De Evil Maid attack er et begrep mynt av sikkerhetsanalytiker Joanna Rutkowska. Det er et enkelt angrep på grunn av utbredelsen av enheter som er usikre på hotellrom rundt om i verden.

Den grunnleggende forutsetningen for angrepet er som følger:

  1. målet er bort på ferie eller forretninger med en eller flere enheter
  2. Disse enhetene blir etterlatt uten tilsyn i målets hotellrom
  3. Målet forutsetter at enhetene er sikre siden de er den eneste med nøkkelen til rommet, men da kommer jomfruen inn
  4. Mens målet er borte, gjør hushjelpen noe til enheten, for eksempel å installere skadelig programvare eller til og med fysisk åpne enheten
  5. Målet har ingen anelse og brytes.

Hvis vi ser på dette angrepet i forbindelse med CAN-bussprotokollen, blir det raskt tydelig at protokollen er svakest når fysisk tilgang er gitt. Slik tilgang blir gitt til pålitelige parter når vi får våre kjøretøy betjent, når det er ute av vårt syn. Mekanikeren er den mest sannsynlige "jomfruen".

Som en del av en god vedlikeholdsrutine vil mekanikeren koble en enhet til OBB-porten (On Board Diagnostic) for å sikre at det ikke er feil eller diagnosekoder for kjøretøyet som må løses.

Men hva ville skje hvis en mekaniker trengte litt ekstra virksomhet? Kanskje de ønsket at du skulle komme tilbake for tjeneste oftere. Kan de programmere din elektroniske bremsemåler for å utløse tidlig ved å manipulere a kontrollalgoritme? Ja, og dette vil resultere i et lavere liv for bremseklossene dine.

Kanskje de kunne endre en av de mange datamaskinene i kjøretøyet ditt slik at det logger mer kilometer enn det faktisk blir gjort? Eller hvis de ville gjemme det faktum at de hadde tatt Ferrari for et spinn, kunne de programmere datamaskinen til vind tilbake kilometertelleren. Langt enklere enn den manuelle metoden, som endte så dårlig i 1986-filmen Ferris Bueller's Day Off.

 

Alle disse er levedyktige hack - og din mekaniker kan gjøre det akkurat nå.

Saken for verifikasjon og gjennomsiktighet

Dette er ikke et nytt problem. Det er ikke annerledes enn en brukt bilforhandler ved hjelp av en drill for å kjøre speedo tilbake for å vise en lavere kjørelengde. Nye teknologier betyr bare at de samme triksene kan implementeres på forskjellige måter.

Dessverre er det lite som kan gjøres for å forhindre at en dårlig mekaniker gjør slike ting.

Sikkerhetsforskere fokuserer for tiden på å forbedre sikkerheten bak CAN-bussprotokollen. Den sannsynlige årsaken til at ingen større hendelse har blitt rapportert til dags dato, er CAN-bussen avhengig av den uklare implementeringen av sikkerheten.

Verifikasjon og gjennomsiktighet kan være en løsning. Et system, foreslått av forskere på Blackhat, innebærer en revisjonslogg som kan hjelpe hverdagen til å vurdere risikoen for uautoriserte endringer i kjøretøyet, og forbedre systemets robusthet.

Inntil da må vi bare fortsette å bruke en pålitelig mekaniker.Den Conversation

Om forfatteren

Richard Matthews, Institutt for entreprenørskap, kommersialisering og innovasjonssenter | Doktorand i bildeforensikk og cyber | rådgiver, University of Adelaide

Denne artikkelen er publisert fra Den Conversation under en Creative Commons-lisens. Les opprinnelige artikkelen.

at InnerSelf Market og Amazon