Sprawdziły się czarne przepowiednie osób, które ostrzegały przed możliwymi skutkami łączenia samochodów z internetem. Hakerzy udowodnili, że można zdalnie przejąć kontrolę nad jadącym pojazdem.

Dokonali tego na Jeepie prowadzonym przez dziennikarza magazynu Wired. Prowadzonym do momentu, w którym zdalnie uruchomili spryskiwacz przedniej szyby, radio i bieg jałowy. Nie był to kres ich możliwości, jednak obiecali kierowcy, że nie zrobią niczego, co zagrażałoby jego życiu.

Pełna kontrola

Nowe Jeepy i Chryslery, sprzedawane na terenie USA, mogą być wyposażone w multimedialny system Uconnect, który łączy się z internetem – jest więc narażony na ataki ze strony internetowych hakerów, co udało się Chrisowi Valasekowi i Charliemu Millerowi – hakerom zajmującym się komputerowymi zabezpieczeniami w samochodach.

O ile dostęp do systemu multimedialnego oznacza głównie ryzyko utraty prywatnych danych i zdobycia lokalizacji pojazdu, to wykorzystanie go do połączenia się z siecią CAN oznacza już realne zagrożenie dla osób znajdujących się w pojeździe. Hakerzy zadeklarowali, że byli w stanie przejąć kontrolę nad hamulcami samochodu i innymi systemami, mającymi kluczowy wpływ na bezpieczeństwo. Trzeba pamiętać, że nowsze samochody często są wyposażone w układ automatycznego parkowania, który steruje również kierownicą!

Strach pomyśleć, co mogłoby się wydarzyć, gdyby dziurę w istniejącym od kilku lat systemie multimedialnym Jeepa wykorzystali hakerzy mający niecne zamiary. Producent udostępnił aktualizację systemu Uconnect, uniemożliwiającą taki atak. Nie instaluje się ona jednak automatycznie. Można ją zainstalować ręcznie na dwa sposoby: za pomocą dysku USB lub w serwisie. Wielu właścicieli zagrożonych aut przez długi czas byłoby wciąż narażonych na atak, gdyby nie publikacja dziennikarza Wired. Jeep nie poinformował właścicieli podatnych na atak pojazdów o tym, jak istotna jest wspomniana aktualizacja. Dopiero po publikacji artykułu na ten temat producent wezwał do serwisów blisko 1,5 miliona pojazdów, by zainstalować w nich aktualizację.

Nie tylko Jeep

Internetowe włamanie do Jeepa to nie pierwsza sytuacja, w której Valasek i Miller przejęli kontrolę nad samochodem. Dwa lata wcześniej, siedząc na tylnych kanapach Forda Escape i Toyoty Prius z laptopami podłączonymi do gniazd diagnostycznych, wyłączyli hamulce i sterowali kierownicami tych pojazdów. Producenci tych pojazdów uznali jednak, że nie było to istotne zagrożenie dla bezpieczeństwa, ze względu na konieczność posiadania bezpośredniego dostępu do samochodu.

Prawo zwiększy bezpieczeństwo?

Amerykański senator Edward Markey ogłosił projekt nowej ustawy, wymuszającej na producentach lepszą ochronę przeciwko atakom hakerów. W jej wyniku, przy udziale amerykańskiej Narodowej Agencji Bezpieczeństwa Ruchu Drogowego (NHTSA) mają zostać opracowane nowe standardy bezpieczeństwa i prywatności systemów montowanych w pojazdach. Markey zapytał 20 producentów samochodów o ich zabezpieczenia w nowych pojazdach. Spośród 16, którzy odpowiedzieli na listy Markeya, wszyscy potwierdzili, że wszystkie sprzedawane przez nich pojazdy są wyposażone w systemy komunikacji bezprzewodowej, jak Bluetooth, Wi-Fi czy komórkowe podłączenie do internetu. Tylko siedmiu zadeklarowało, że zatrudnili niezależne firmy, które zbadały elektroniczne zabezpieczenia pojazdów, a jedynie dwóch ma systemy monitorujące złośliwe komendy wysyłane do sieci CAN ich pojazdów.

Producenci nie chcą otwartego dostępu

Ta sytuacja pokazuje, że większość producentów marginalizuje znaczenie bezpieczeństwa systemów elektronicznych, montowanych w ich samochodach. Zamknięty kod tych systemów jednocześnie sprawia, że luki w systemach są trudniej wykrywalne i mogą być dłużej wykorzystywane przez hakerów.

Systemy multimedialne poprawiają komfort i bezpieczeństwo w pojazdach, jednak lekkomyślne podejście do ich wpływu na bezpieczeństwo i prywatność oraz niechęć do ujawnienia kodu oprogramowania tych systemów sprawia, że mogą one przynieść więcej szkody niż pożytku.

Warto pamiętać, że w Europie nie istnieje organ mający tak silny wpływ na producentów pojazdów, jak amerykańska NHTSA, która niedawno nałożyła na koncern Fiat Chrysler kary w wysokości blisko 105 milionów dolarów.