Otomotiv korsanlığı - Automotive hacking

Otomotiv korsanlığı , otomobillerin yazılım, donanım ve iletişim sistemlerindeki güvenlik açıklarından yararlanılmasıdır .

genel bakış

Modern otomobiller, araç kontrollerinden bilgi-eğlence sistemine kadar her şeyi işleyen yüzlerce yerleşik bilgisayar içerir . Elektronik kontrol üniteleri (ECU) olarak adlandırılan bu bilgisayarlar, motor ve fren kontrolü arasındaki bağlantılar gibi araç bileşen iletişimi için Kontrolör Alan Ağı (CAN) dahil olmak üzere birden fazla ağ ve iletişim protokolü aracılığıyla birbirleriyle iletişim kurar ; Kapı kilitleri ve iç lambalar gibi daha ucuz araç bileşeni iletişimi için Yerel Ara Bağlantı Ağı (LIN); Modern dokunmatik ekran ve telematik bağlantıları gibi bilgi-eğlence sistemleri için Medya Yönelimli Sistem Taşımacılığı (MOST) ; ve aktif süspansiyon ve aktif hız sabitleyici veri senkronizasyonu gibi yüksek hızlı araç bileşeni iletişimleri için FlexRay .

Kablosuz cihaz bağlantıları için Bluetooth , 4G İnternet erişim noktaları ve araç Wi-Fi gibi ek tüketici iletişim sistemleri de otomobil mimarilerine entegre edilmiştir .

Bu çeşitli iletişim ve yazılım sistemlerinin entegrasyonu, otomobilleri saldırılara karşı savunmasız bırakır. Güvenlik araştırmacıları, modern araçlardaki çok sayıda potansiyel saldırı vektörünü göstermeye başladılar ve bazı gerçek dünya istismarları, üreticilerin mobil uygulamalarda araç geri çağırma ve yazılım güncellemeleri yayınlamasına neden oldu.

John Deere gibi üreticiler, araç sahipleri veya üçüncü şahıslar tarafından onarım yapılmasını veya satış sonrası parçaların kullanılmasını önlemek için bilgisayar sistemlerini ve Dijital Hak Yönetimini kullanmıştır. Bu tür sınırlamalar, bu sistemleri atlatmak için çabalara yol açtı ve Motorlu Araç Sahiplerinin Onarım Hakkı Yasası gibi önlemlere olan ilgiyi artırdı .

Araştırma

2010'da güvenlik araştırmacıları, ECU'yu hackleyerek nasıl fiziksel efektler yaratabileceklerini ve sistem kontrollerini baltalayabileceklerini gösterdiler. Araştırmacılar ECU'ya fiziksel erişime ihtiyaç duydular ve frenleri devre dışı bırakmak ve motoru durdurmak dahil olmak üzere herhangi bir güvenlik veya otomotiv sistemi üzerinde tam kontrol elde edebildiler.

2011 yılında yayınlanan bir takip araştırma makalesinde, araştırmacılar fiziksel erişimin gerekli bile olmadığını gösterdi. Araştırmacılar, "mekanik araçlar, CD çalarlar, Bluetooth, hücresel radyo... ve kablosuz iletişim kanalları aracılığıyla uzaktan yararlanmanın mümkün olduğunu" gösterdiler. Bu, bir bilgisayar korsanının otomobilin sistemleriyle arayüz oluşturan hemen hemen her şey aracılığıyla bir aracın hayati kontrol sistemlerine erişebileceği anlamına gelir.

Son istismarlar

2015 Fiat Chrysler UConnect Hack

UConnect, Fiat Chrysler'in araç sahiplerine aracın bilgi-eğlence/navigasyon sistemini kontrol etme, medyayı senkronize etme ve telefon görüşmeleri yapma olanağı sağlayan İnternet bağlantılı özelliğidir. Hatta isteğe bağlı yerleşik WiFi ile entegre olur.

Bununla birlikte, Fiat Chrysler'in 1,4 milyondan fazla arabada bulunan UConnect sistemindeki hassasiyetler, bilgisayar korsanlarının sistemli arabaları taramasına, kötü niyetli kodlar bağlayıp gömmesine ve nihayetinde direksiyon ve frenler gibi hayati araç kontrollerine el koymasına izin veriyor .

2015 Tesla Model S Hack

2015'te DEF CON korsanlık konferansında Marc Rogers ve Kevin Mahaffey, Model S'nin tam kontrolünü ele geçirmek için bir açıklar zincirinin nasıl kullanılabileceğini gösterdi. Marc Rogers ve Kevin Mahaffey, giriş noktaları olarak kullanılabilecek birkaç uzak ve yerel güvenlik açığı belirledi. Sömürünün ardından aracın bir iPhone ile uzaktan kontrol edilebileceğini gösterdiler. Son olarak, daha çok geleneksel bilgisayar sistemleriyle ilişkilendirilen tekniklerden yararlanmak için benzer bir şekilde araca sürekli erişime ve kontrole izin veren bir arka kapı kurmanın mümkün olduğunu da gösterdiler . Marc Rogers ve Kevin Mahaffey , sorunları ifşa etmeden önce çözmek için Tesla, Inc. ile birlikte çalıştı . Sunumdan önce, tüm küresel Model S otomobil filosunun, savunmasız araçların ilk proaktif kitlesel Over The Air (OTA) güvenlik güncellemesinin bir gecede yamalandığı açıklandı.

General Motors OnStar RemoteLink Uygulaması

OnStar RemoteLink uygulaması, kullanıcılara gelen OnStar yeteneklerini faydalanma olanağı sunmaktadır Android veya iOS akıllı telefonlar. RemoteLink uygulaması aracınızı bulabilir, kilitleyebilir ve kilidini açabilir ve hatta aracınızı çalıştırabilir.

General Motors'un OnStar RemoteLink uygulamasındaki kusur, UConnect kadar aşırı olmasa da, bilgisayar korsanlarının RemoteLink uygulamasının gözünde kurbanı taklit etmesine izin veriyor. Bu, bilgisayar korsanlarının, yerini bulma, kilitleme ve kilidi açma ve motoru çalıştırma dahil olmak üzere kurbanın kullanabileceği RemoteLink uygulamasının tüm özelliklerine erişebileceği anlamına gelir.

Anahtarsız giriş

Güvenlik araştırmacısı Samy Kamkar , anahtarsız giriş anahtarlarından gelen sinyalleri kesen ve bir saldırganın kapıları açmasına ve bir arabanın motorunu çalıştırmasına izin verecek bir cihaz gösterdi .

Referanslar