Hacker contro auto intelligenti: ecco i modelli che hanno fallito

Per noi le automobili non sono più solo un semplice mezzo di trasporto. Con lo sviluppo della tecnologia mobile, le automobili, come l'Internet delle cose, hanno le proprie piattaforme e tecnologie per l'Internet dei veicoli. Grazie alla tecnologia di rete dei veicoli, possiamo realizzare funzioni più tecnologiche, come la navigazione, l'acquisizione di informazioni sulle condizioni stradali, il controllo remoto, la guida automatica e persino la guida senza pilota.

Tuttavia, come l'Internet delle cose, anche l'Internet dei veicoli deve far fronte a problemi di vulnerabilità del sistema e intrusioni degli hacker. A differenza dell'hacking della piattaforma Internet of Things, una volta che l'Internet of Vehicles viene invaso da persone con "intenzioni impure", le nostre perdite non sono semplicemente legate a informazioni personali e proprietà. Gli hacker possono controllare i sistemi delle nostre auto e perfino impossessarsi del volante e dell'impianto frenante, mettendo a repentaglio la nostra vita.

Non stiamo esagerando quando lo diciamo. Se non ci credete, diamo un'occhiata ad alcuni esempi reali apparsi sui giornali. Credo che dopo aver visto queste cose, presterete involontariamente maggiore attenzione alla sicurezza dell'Internet of Vehicles.

Jeep diventa l'area più colpita dagli hacker

Se parliamo della "carne da macello" preferita dagli hacker, non può che essere il marchio Jeep della Chrysler. Due dei ricercatori sulla sicurezza, Charlie Miller e Chris Valasek, sembravano essere molto "interessati" a Jeep. Nel 2015, due hacker hanno preso il controllo di una Jeep Cherokee di proprietà di Andy Greenberg.

Secondo la descrizione del proprietario, dopo aver attivato la funzione di rete, l'aria condizionata dell'auto ha improvvisamente emesso aria fredda e intensa, dopodiché l'impianto audio ha iniziato a riprodurre musica al massimo volume. Quindi le funzioni di regolazione della temperatura e del volume non hanno funzionato. I due hacker hanno quindi visualizzato le loro foto sul display di controllo centrale dell'auto, dopodiché è stato spruzzato il liquido detergente per parabrezza e i tergicristalli hanno iniziato a funzionare alla massima frequenza.

Poi ci fu qualcosa di ancora più straziante. I due hacker hanno effettivamente fermato l'auto e, quando Greenberg ha continuato a guidare, sono riusciti a disattivare i freni e hanno preso completamente il controllo dell'auto, che alla fine è stata costretta a fermarsi sul pendio a lato della strada. Fortunatamente, i due hacker non avevano intenzione di mettere a repentaglio la vita del proprietario dell'auto, ma stavano solo valutando la sicurezza dei veicoli dotati di nuove tecnologie. L'attacco ha portato al richiamo di 1,4 milioni di veicoli negli Stati Uniti da parte di Fiat Chrysler ed è diventato uno degli argomenti principali della conferenza Black Hat dell'anno scorso.

Poco dopo il loro controverso test del 2015, Charlie Miller e Chris Valasek hanno nuovamente puntato la Jeep Cherokee e questa volta hanno assunto il controllo totale dell'impianto frenante dell'auto.

I due hacker hanno avuto accesso al sistema della Jeep tramite il bus CAN e hanno paralizzato completamente l'impianto frenante del mezzo per prenderne il controllo. Hanno affermato che è possibile utilizzare metodi di controllo più remoti, come ad esempio l'impiego di dispositivi nascosti dotati di connessioni wireless per effettuare gli attacchi. Gli hacker possono riprogettare i programmi di attacco durante il processo di attacco per lanciare nuovi attacchi mirati. , puoi controllarlo facilmente. Il sistema informativo del cruscotto Uconnect sviluppato dai ricercatori è stato facilmente hackerato in questo modo. Venivano controllati non solo i freni e gli interruttori dei tergicristalli, ma anche il motore dell'auto. Tuttavia, l'hacker deve prima stabilire una connessione fisica con l'auto e non può ottenere immediatamente il controllo remoto.

L'OnStar della General Motors è stato hackerato

Sempre nel 2015, un altro "hacker white hat", Smay Kamkar, scelse il sistema "OnStar" della GM, affermando di poter sfruttare una vulnerabilità di sicurezza del prodotto per sbloccare l'auto e avviare il motore a distanza.

Smay Kamkar ha trovato un modo per "localizzare, sbloccare e avviare da remoto" l'auto intercettando le comunicazioni tra l'app mobile OnStar Remote Link e il servizio OnStar.

Successivamente, Jeff Massimilla, responsabile della sicurezza informatica di GM, ha affermato che l'azienda attribuisce grande importanza ai ricercatori in materia di sicurezza e ha lanciato un nuovo programma di divulgazione. In questo progetto collaboreranno con la piattaforma di ricompensa per le vulnerabilità di sicurezza HackerOne e scopriranno potenziali problemi di sicurezza tramite hacker white hat. Ma cosa ancora più importante, il lancio di questo progetto garantisce che i ricercatori della sicurezza possano decifrare i codici delle auto GM senza doversi preoccupare di essere perseguiti.

Secondo la GM, chiunque abbia buone intenzioni può provare a hackerare le sue auto senza dover affrontare azioni legali, a patto che non violi la legge o non arrechi danno all'azienda o ai suoi clienti. Una volta scoperte le falle nella sicurezza, gli hacker hanno potuto rendere pubbliche le loro scoperte solo dopo che la GM avesse risolto i problemi.

Anche Mercedes-Benz e BMW non sono rimaste immuni.

Dopo che Samy Kamkar ha conquistato con successo GM OnStar, non sono stati risparmiati nemmeno marchi di auto di lusso come Mercedes-Benz e BMW.

Kamkar ha affermato che app come Remote di BMW, mbrace di Mercedes-Benz e Uconnect di Chrysler presentano vulnerabilità nella verifica dei certificati SSL. Finché si è in possesso del certificato, è possibile imitare l'App per comunicare con il server remoto e implementare le funzioni corrispondenti fornite dall'App originale. Inoltre, questi certificati non hanno validità una sola volta, ma la loro validità è la stessa del proprietario dell'auto. In altre parole, ottenere questo certificato equivale ad ottenere i privilegi di amministratore del proprietario dell'auto.

Una volta hackerato il proprietario dell'auto, l'hacker otterrà l'indirizzo di casa, l'indirizzo e-mail, le informazioni sulla carta di credito, ecc. Allo stesso tempo, alcuni modelli di auto possono anche essere controllati da remoto per avviarli e sbloccarli.

Tesla hackerata

Alla conferenza sulla sicurezza digitale DEF CON 23 del 2015, gli esperti di sicurezza Kevin Mahaffey e Marc Rogers hanno dimostrato come sfruttare una vulnerabilità in una Model S per aprire la portiera, avviare l'auto e partire con successo. Potrebbero anche inviare un comando "suicidio" alla Model S, spegnendo improvvisamente il motore del sistema mentre il veicolo sta procedendo normalmente, per fermarlo.

Dopo aver rimosso la gomma e altre apparecchiature dalla carrozzeria della Model S, gli esperti di sicurezza hanno trovato in totale due schede SD rimovibili, porte USB, un set di porte diagnostiche e un misterioso cavo dedicato. Grazie a questa porta misteriosa, Mahaffey e Rogers riuscirono finalmente ad accedere alla rete di bordo del veicolo utilizzando un cavo Ethernet e del nastro adesivo. Dopo aver collegato il veicolo a uno switch di rete, sono stati in grado di connettersi ulteriormente alla connessione di rete della Model S e di sfruttare la VPN per connettersi ai server Tesla per scaricare e decompilare il firmware.

Una volta che il firmware viene violato, il personale addetto alla sicurezza avrà maggiori autorizzazioni per utilizzare Tesla. La combinazione di queste due vulnerabilità, la connessione wireless tramite la scoperta dei dati digitali della chiave dell'auto sulla scheda SD e la connessione VPN fisica ai server Tesla, consente al personale addetto alla sicurezza di avere un accesso quasi completo al servizio dell'auto denominato QtCarVehicle, e di controllare tutte le funzioni dell'auto.

Anche Toyota e Ford sono "molto infelici"

Charlie Miller e Chris Valasek sono due hacker white hat. Alla conferenza hacker DefCon del 2013, hanno dimostrato come utilizzare un computer per invadere il sistema di controllo elettronico dei modelli Toyota Prius e Ford Escape e assumere il controllo del veicolo, compresi sterzo, frenata, accelerazione e visualizzazione della strumentazione.

Poiché sempre più modelli di automobili vengono hackerati, all'inizio di quest'anno l'FBI e la National Highway Traffic Safety Administration hanno addirittura pubblicato un annuncio, ricordando ufficialmente alle case automobilistiche e ai proprietari di auto che alcuni veicoli con funzioni di accesso a Internet potrebbero essere soggetti ad attacchi di "hacker" di rete.

Il presente promemoria è stato diffuso sotto forma di "annuncio di pubblica utilità". Due agenzie governative hanno lanciato l'allarme: l'uso crescente della tecnologia dei "veicoli connessi" nelle automobili rappresenta una potenziale minaccia per la sicurezza informatica. Anche se gli hacker "prendessero il controllo" del veicolo, l'incidente che ne risulterebbe potrebbe non rappresentare un rischio per la sicurezza personale ed è necessario che i proprietari dell'auto adottino misure per ridurre al minimo il rischio.

In effetti, le case automobilistiche odierne potrebbero concentrarsi troppo sull'aspetto e sulla moda, ignorando i problemi di sicurezza delle auto. Soprattutto per prodotti come le automobili, che possono facilmente causare lesioni fisiche e incidenti gravi, le questioni relative alla sicurezza dovrebbero essere prese più seriamente.

Inoltre, alcune case automobilistiche sono addirittura disposte a mettere i dati degli utenti in una situazione "nuda" per sfruttare le tecnologie più recenti. Poiché le aziende automobilistiche odierne stanno sviluppando con impegno sistemi intelligenti per le automobili, è indubbio che la sicurezza dei sistemi automobilistici debba ricevere maggiore attenzione. Dopotutto, le automobili sono diverse dai telefoni cellulari e dai computer. Una volta invase, la vita delle persone sarà ancora più minacciata. Pertanto, l'intero settore dovrebbe prestare maggiore attenzione alla sicurezza dei sistemi dei veicoli intelligenti e dei veicoli a guida autonoma e fornire meccanismi di crittografia più rigorosi.

Vincitore del Qingyun Plan di Toutiao e del Bai+ Plan di Baijiahao, del Baidu Digital Author of the Year 2019, del Baijiahao's Most Popular Author in the Technology Field, del Sogou Technology and Culture Author 2019 e del Baijiahao Quarterly Influential Creator 2021, ha vinto numerosi premi, tra cui il Sohu Best Industry Media Person 2013, il China New Media Entrepreneurship Competition Beijing 2015, il Guangmang Experience Award 2015, il China New Media Entrepreneurship Competition Finals 2015 e il Baidu Dynamic Annual Powerful Celebrity 2018.