Berta Sándor

Ideje megbarátkoznunk az autók elleni hackerakciókkal

A hackerek átvették az ellenőrzést a Chrysler rendszere felett. Ugyan az első fecske egy Jeep Cherokee volt, de a Fiat bármely modellje lehet áldozat. 105 millió dollárba kerül nekik, hogy nem tájékoztatták vásárlóikat és a hatóságot.

Charlie Miller és Chris Valasek augusztusban a DEF CON konferencián akarják bebizonyítani, hogy egy a kereskedelmi forgalomban kapható gépkocsit a távolból is fel lehet törni és át lehet venni az ellenőrzést a központi vezérlőrendszere fölött. A két szakember azonban a fellépés előtt még Andy Greenbergnek, a Wired újságírójának adott némi ízelítőt abból, hogy mennyire sebezhetőek a mai autók. A riporter Cherokee Jeepjében először beindult a klíma, majd nagyon hangosan megszólalt a zene, elindultak az ablaktörlők és végül a sebesség is drasztikusan lecsökkent.

A Uconnectet nem csupán a Jeep modellekbe integrálták, hanem a konszern többi márkájához (Fiat, Lancia, Alfa Romeo, Chrysler, Dogde, SRT, RAM) tartozó járművekbe is. A rendszer a szórakoztató elektronikai megoldások mellett a navigációt is irányítja, s ezenkívül egy okostelefon-alkalmazás segítségével a gépkocsi a távolból is elindítható vagy lezárható. Miller és Valasek nem akartak részleteket elárulni, az első információkat a Black Hat konferencián hozzák majd nyilvánosságra. Azt azonban már most is lehet tudni, hogy sikerült az autó vezérlőegységében lévő chip firmware verzióját egy módosított változattal felülírni, így átvehették az irányítást a jármű felett, sőt még az is látható, hogy blokkolni tudták a fékeket.

A biztonsági kutatók arra szólították fel a Chrysler-modellek tulajdonosait, hogy frissítsék a szoftvereiket. A gyártót már 9 hónappal ezelőtt tájékoztatták a hibáról, de a cég csak július 16-án hozta nyilvánosságra azt az információt az amerikai ügyfelei számára, hogy elérhető a Uconnect új verziója. Ez azonban nem telepíthető fel az interneten keresztül, hanem csak egy USB-kulcs segítségével, tehát szervízbe kell vinni a járműveket. Miller szerint egy olyan szoftverhibáról van szó, amely nagyon hamar megölhet valakit.


Az autógyártó összesen 1,4 millió gépkocsit hívott vissza a forgalomból a szükséges szoftverfrissítések elvégzése miatt. Az érintett gépkocsik között vannak a Dodge, a Ram és a Jeep márkák 2013 és 2015 között gyártott modelljei. A társaság egyik szóvivője azt nyilatkozta, hogy az európai piacon forgalmazott Jeep-modelleket a hiba nem érinti, mert ezekbe az érintett GSM-modult nem építették be. A konszern hangsúlyozta azt is, hogy a hiányosság miatt még nem került sor panaszokra, balesetekre, sérülésekre vagy bármilyen ügyintézésre.

A visszahívási akció közben elkövetett hibák miatt a Fiat Chrysler még az amerikai közlekedési hatósággal is konfrontálódott, amely 105 millió dolláros pénzbüntetés megfizetésére kötelezte - minderről a Bloomberg számolt be az NHTSA amerikai közlekedésbiztonsági hivatalra hivatkozva. Az NHTSA azt vizsgálta, hogy vajon a gyártó késve reagált-e a biztonsági hiányosságra. Ez a legnagyobb bírság, amit eddig a hivatal kiszabott és a vállalatot kötelezték arra is, hogy a jövőben alkalmazzon egy a hatóság által kijelölt és minősített ellenőrt is. A bírság mellett az NHTSA (National Highway Traffic Safety Administration) rendelkezése lehetőséget ad másfél millió autótulajdonosnak gépkocsija visszaadására a Fiatnak.

Anthony Foxx amerikai közlekedési miniszter mai bejelentése szerint az autógyártó elismerte az elkövetett mulasztásokat, elfogadta a bírságot és vállalta a hibás járművek javítását és visszavásárlását. Az NHTSA a társaság 23, összesen 11 millió gépkocsit felölelő visszahívási akcióját vizsgálta meg visszamenőleg. A vállalat ezzel összefüggésben három területen ismerte el, hogy mulasztást követett el: a visszahívások időbeni és hatékony lebonyolításában, a tulajdonosok és a kereskedők, valamint az NHTSA tájékoztatásában. "A mostani rendelkezés a múltban elkövetett mulasztásokért vonja felelősségre a Fiat Chryslert, kötelezi emellett a nem biztonságos járművek javítására vagy a forgalomból való kivonására, valamint konkrét lépéseket tesz az autótulajdonosok biztonságának jövőbeni garantálására" - jelentette ki Anthony Foxx. "A bírság egyúttal figyelmeztetés is minden autógyárnak, hogy a hivatal nem lesz rest meghozni a szükséges intézkedéseket, ha nem veszik komolyan kötelezettségüket a biztonsági hibák kijavítására" - tette hozzá.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • fonak #8
    Azt mondjuk elképesztőnek tartom, hogy az autó szórakoztató központja nincs teljesen elszeparálva a motorvezérléstől stb.
  • Ender Wiggin #7
    @kvp: amíg nincs biztonságos rendszer, addig a vevő felé kellene, hogy legyen alternatíva, hogy az autót "buta" verzióban vehesse meg. Persze gondolom ilyen nem lesz. Dobfék az igen a XXI. században, de internet nélküli autó nuku. Lehet, persze, hogy ezzel fellendül a használt piac és aranyárba lesznek az ültetett Kadettek...
  • kvp #6
    Mar most is vannak biztonsagosabb architekturak, csak draga veluk fejleszteni, ezert par nagyon elszant ceget leszamitva senki nem erolteti a hasznalatukat. A jobb jatekkonzolok biztonsagi szintje pl. evtizedekkel meghaladja az autok vagy akar a repulok biztonsagi technologiait. Az ok az, hogy a nagymeretu kalozkodas miatt par ceg megvette a biztonsagos technologiat. A jelenlegi legfrissebb generacios rendszereket persze mar megint egy gyengebb platformon adjak ki, mert ez olcsobb.

    Ha az autoknal torvenyileg teszik kotelezove a biztonsagos platformokat, akkor az okosautok lehet hogy a mai duplajaba fognak kerulni es csak 5 evente lesz platform frissites, de cserebe nehezebb lesz feltorni oket. Csak legalabb a repuloknel elvart minimum szintet el kellene erni. (meglepo modon, pont a vasuti rendszerek a legjobban megerositettek, mert ott nagyon hosszu ido ota, nagyon szigoru szabalyok vannak es mivel a vasuti szemelyszallitas allamilag dotalt, ezert nem szamitanak a koltsegek, mig az autoknal es a repuloknel igen)

    Tehat turelem, most lesz egy hullam amikor mindenki bepanikol, aztan kesve kapcsolnak a poltikusok is es vegul kapunk egy biztonsagosabb kornyezetet. A magyarorszagi online penztargepek pl. mar most biztonsagosabbak mint az osszes modern connected/online auto. Egyszeruen azert, mert a jogalkoto feltetelezte, hogy mind a bunozok, mind az eladok, de meg a vevok is megprobaljak majd megtorni oket, ezert a jogszabalyban katonai szintet varnak el. Aztan ez vagy sikerul vagy nem, de az elvaras mar megvan, mig egy 'okosautoba' mindenki azt rak amit nem szegyel.
  • Skylake #5
    Íme a legújabb gyöngyszem! "Mindennapi exploitunkat add meg nékünk ma!:" http://itcafe.hu/hir/android_sebezhetoseg_zimperium.html
  • Skylake #4
    Íme az okoseszközök és az eljövendő IoT technológiák világának sötét és lábszagú bája, amely az adott okoseszközt dicsőítő a PR dumákból mindig kimaradnak! Természetesen szükségszerűen, hiszen ezekre nem lehet olyan valid választ adni, amely megnyugtató lenne. Ilyen válaszok ugyanis nincsenek – nem véletlenül! Az informatika e téren itt áll letolt gatyával. Minden szoftver, bármilyen célra készült, és bárhogyan, hemzseg a sebezhetőségektől – csak ezekről még nem tudunk! Holnap pedig lehet hogy kiderül, hogy, hopp olyan exploitot találtak benne, amelyre még nem volt példa. Két hét múlva meg még nagyobbat, még súlyosabb sebezhetőséget Attól, hogy nem tudunk még róluk, azok bizony ott vannak – teljesen mindegy, hogy egy tökéletesen user korlátozott cucc-e, vagy valamilyen opensource mindet-lehet-mert-mindet-láthatsz szoftver. Hearbreak, Shellshock és társai: a jövőben ilyenekből minden napra 5-10 fog jutni, ahogy így haladunk, az okosautókon keresztül az webshopból automatikusan reggelre korhelylevest rendelő vécécsészéig, amelyel tegnap a partin porcelánbusz-vezetést kellett végezned, némi részegségből kifolyólag.

    Van egy elméletem. Úgy látom, hogy a különböző feltörési-kompromittálási akciók terjedelme, volumene, és következményeinek társadalmi és gazdasági mélysége növekszik. Egyszerre tartom mérhetetlenül nevetségesnek és egyben mérhetetlenül szánalmasnak azt, hogy bármelyik tech portálon, az SG-től kezdve, a Slashdot-on át, a Stack, Verge, Wired, BetaNews, Hackaday, és számtalan magazinig szükségszerűen megtalálható. Nevezetesen az, hogy egymás mellett vannak az oldalon azok a hírek, amelyek azt adják hírül, hogy milyen hiper-szuper új technológiát találtak ki – mellette pedig azok, hogy éppen micsoda hatalmas, korábbi tendenciákat megdöntő feltörést, adatlopást csináltak valakik valamilyen rendszer ellen.

    Az elméletem egyszerű. Én kételkedem abban, hogy ebből a technológiai fejlődésből mi emberek jól jöjjünk ki. Ennek oka véleményem szerint nagyon egyszerű és könnyen megérthető. Egyre több eszközt és területet látunk el, vagy meglévőt ruházunk fel informatikai logikával és működéssel. Ezek alapja a működtető kód – a szoftver. Ahogy látjuk, informatikai rendszereinek a 20-30 évvel előbbiekhez képest felfoghatatlanul bonyolultabbak, nem csak hardvert, hanem az egyes funkciókat biztosító informatikai logikákat tekintve is. Hol voltak ilyen irdatlan feltörések mondjuk a 90-es évek végén? Sehol, legfeljebb scifi írók könyveiben! Hát a 2000-es évek elején? Alig! A rendszerinket működtető szoftverek kódjai egyre hosszabbak, és egyre bonyolultabbak, és évről évre, hónapról hónapra egyre inkább azok lesznek! Rendszer alatt érts mindent, az Amazon meg a Google irdatlan adatfelhőjétől kezdve, pornónéző Pistike lerúgott, XP-t futtató pénégyeséig, plusz veheted ide az összes létező menedzselhető hálózati hardvert – mindegyikben van szoftver, amely szoftverkódok végeláthatatlan soraiból áll. Minél több kódsor a szoftverben, minél több kapcsolat más szoftverek kódjaival – annál több hibalehetőség és támadási felület. Úgy gondolom, hogy a különböző szoftverekben lévő hibalehetőségek száma exponenciálisan növekszik, és teljesen mindegy, hogy milyen célú szoftverről van szó! Mindezt tetézi az, hogy mindezeket a rendszereket egymással hálózatba kötjük, ez a támadási vektorok számát ugyancsak exponenciálisan növeli – a meglévő lehetőségek mellé. Itt tartunk. Nagyon veszélyes dolgot engedünk ki a palackból, főleg úgy, hogy szerintem, hogy a világ informatikai eszközeinek használóinak döntő többsége digitális analfabéta – az userek általános büszke ostobaság és az érdektelenség pedig a legjobb előfeltétel az egyre nagyobb volumenű és egyre kiterjedtebb lehetőségeket biztosító támadásokig. Avagy amit most ebben a cikkben olvashatunk, az még 2000-es évek elején, mindössze 10 éve is scifi lett volna! Dan Brown regénybe illő dolog! Pedig az csak 10 éve volt csupán!

    Ahogy nézem a „fejlődés” ütemét, abban a korban, az elképzelhető jövőben, amikor az emberi élet minden létező területét át fogja szőni az informatika okosházak, okoseszközök, okosjárművek, AR és virtualizált valóságok formájában; mindezen rendszerek mai viszonyokhoz képest elképzelhetetlen volumenű és következményekkel járó feltörése, támadása már egyértelmű anyagi és emberi károkat fog okozni. Az átlagembereknek is. Az okokat felsoroltam. Elkerülésére kevés esélyt látok – súlyos lecke lesz ez a civilizációnk számára.
  • atiwrc #3
    Detto! :)

    Egyébként az nem volt normális aki kitalálta ezeket az elektromost pedálokat, skodába vezettem többször ilyennel, de valami botrány, a gázt még csak csak elviseli az ember, de az a kuplung....

    Egyszer nagyon visszafog ütni ez a sok elektronikai bisz-basz.....
  • paby88 #2
    na az f-es astrámat próbálja meg megheckelni
  • barret #1
    Tök állat dolog! Hogy mire nem képes a technika! A sok noob most már az autójához is
    alkalmazhat egy rendszergazdát!