Miliony aut koncernu VW ohroženy bezdrátovým hackem
15.8.2016, Jan Vítek, aktualita
Dle výzkumníku z univerzity v Birminghamu hrozí majitelům až stovky milionů automobilů koncernu VW, tedy Škodu nevyjímaje, že jejich vůz někdo na dálku může nejen otevřít, ale i nastartovat. Stačí prý na to pouhé Arduino.
Tento problém má ohrožovat i stará auta, a to až do roku 1995, jak říká studie výzkumníků z University of Birmingham vedených Flaviem Garciou, jejíž zveřejnění měl Volkswagen po dva roky zdržovat, ačkoliv daný hack už měl být celý rok známý. Dle Garciy na otevření automobilu VW stačí pouhé Arduino v ceně 40 dolarů, k čemuž můžeme dodat, že na to stačí i dlažební kostka v nulové ceně, ale o tom tento článek není.
Flavio Garcia odhalil svou studii společně s německou inženýrskou skupinou Kasper & Oswald na bezpečnostní konferenci Usenix a dle nich jde o dva samostatné bezpečnostní problémy. Jeden se týká bezklíčového zamykacího systému zhruba 100 milionů prodaných automobilů, mezi něž patří především značka VW, ale také Audi či Škoda Auto a druhý se týká značek Alfa Romeo, Citroen, Fiat, Ford, Mitsubishi, Nissan, Opel a Peugeot.
Vše, co máme potřebovat k otevření takových automobilů, je základní deska Arduino obohacená o rádiový transmitter, nebo prostě rádio + notebook, přičemž tato hardwarová výbava byla označena za triviální, neboť si ji může opatřit a operovat s ní v podstatě každý. Dle výzkumníků je zvláště znepokojující náchylnost systému vozů koncernu VW, neboť ty mají využívat jen několik málo sdílených šifrovacích hlavních klíčů v různých modulech. Získat tyto klíče je prý únavný, ale uskutečnitelný úkol a předpokládá se, že všech 100 milionů vozů koncernu VW využívá jeden z nich.
Čili když hacker/zloděj některý z těchto klíčů získá, může už zamířit na nejbližší parkoviště, aby od řidičů zamykajících či odemykajících své auto zachytil jeho specifický klíč, který pak přidá k hlavnímu klíči a získá tak možnost, jak dané auto následně sám odemykat a zamykat. Bylo ale také poznamenáno, že "novějších aut VW se tato věc netýká" a že ta jsou vůči tomuto způsobu imunní, ale bližší informace sděleny nebyly.
Nyní je otázka, zda se s tím něco bude dělat, neboť nejde o snadno řešitelný problém. Asi nezbývá, než počkat, zda se tento způsob mezi zloději a vykradači aut ujme a objeví se dost poškozených majitelů na to, aby automobilky musely začít svolávat svá auta a hromadně tento problém řešit. Automobilky ostatně nejsou známy pro to, že by byly s elektronickým zabezpečením napřed spíše naopak. Už vůbec to nevypadá, že by dokázaly předvídat a to má pak následky. Auta před lety například neměla ochranu pro případ, že na ně někdo spustí hrubý útok, při němž se prostě zkouší kód za kódem, než zamykací systém na některý zareaguje. Prostě tu nebyla ochrana, která by zareagovala v případě, že auto přijme v krátké době několik rychle po sobě jdoucích kódů.
Zdroj: Usenix (pdf)
Flavio Garcia odhalil svou studii společně s německou inženýrskou skupinou Kasper & Oswald na bezpečnostní konferenci Usenix a dle nich jde o dva samostatné bezpečnostní problémy. Jeden se týká bezklíčového zamykacího systému zhruba 100 milionů prodaných automobilů, mezi něž patří především značka VW, ale také Audi či Škoda Auto a druhý se týká značek Alfa Romeo, Citroen, Fiat, Ford, Mitsubishi, Nissan, Opel a Peugeot.
Vše, co máme potřebovat k otevření takových automobilů, je základní deska Arduino obohacená o rádiový transmitter, nebo prostě rádio + notebook, přičemž tato hardwarová výbava byla označena za triviální, neboť si ji může opatřit a operovat s ní v podstatě každý. Dle výzkumníků je zvláště znepokojující náchylnost systému vozů koncernu VW, neboť ty mají využívat jen několik málo sdílených šifrovacích hlavních klíčů v různých modulech. Získat tyto klíče je prý únavný, ale uskutečnitelný úkol a předpokládá se, že všech 100 milionů vozů koncernu VW využívá jeden z nich.
Čili když hacker/zloděj některý z těchto klíčů získá, může už zamířit na nejbližší parkoviště, aby od řidičů zamykajících či odemykajících své auto zachytil jeho specifický klíč, který pak přidá k hlavnímu klíči a získá tak možnost, jak dané auto následně sám odemykat a zamykat. Bylo ale také poznamenáno, že "novějších aut VW se tato věc netýká" a že ta jsou vůči tomuto způsobu imunní, ale bližší informace sděleny nebyly.
Nyní je otázka, zda se s tím něco bude dělat, neboť nejde o snadno řešitelný problém. Asi nezbývá, než počkat, zda se tento způsob mezi zloději a vykradači aut ujme a objeví se dost poškozených majitelů na to, aby automobilky musely začít svolávat svá auta a hromadně tento problém řešit. Automobilky ostatně nejsou známy pro to, že by byly s elektronickým zabezpečením napřed spíše naopak. Už vůbec to nevypadá, že by dokázaly předvídat a to má pak následky. Auta před lety například neměla ochranu pro případ, že na ně někdo spustí hrubý útok, při němž se prostě zkouší kód za kódem, než zamykací systém na některý zareaguje. Prostě tu nebyla ochrana, která by zareagovala v případě, že auto přijme v krátké době několik rychle po sobě jdoucích kódů.
Zdroj: Usenix (pdf)
