Co mogą zrobić hakerzy z Twoim samochodem?

Dwa lata temu, świat obiegła informacja o trójce badaczy, która przygotowała zestawienie wyników swoich badań nad bezpieczeństwem immobilizerów używanych w luksusowych samochodach.

Urządzenia te działają w następujący sposób:

Po włożeniu kluczyka z wbudowanym transponderem (nadajnikiem) do stacyjki i włączeniu zapłonu następuje wymiana sygnałów (danych). Sygnał jest wysyłany z kluczyka do immobilizera (do urządzenia sterującego). Sygnał ten jest analizowany; gdy sygnał się zgadza, immobilizer przesyła swój sygnał do kluczyka zapłonu, który uruchamia w transponderze proces obliczeniowy (sprawdzający). Gdy sygnały są identyczne (w transponderze i urządzeniu sterującym immobilizera) kluczyk zostaje uznany za właściwy. Wówczas immobilizer i urządzenie sterujące pracą silnika wymieniają się sygnałami kodowymi; jeśli są zgodne następuje dezaktywacja blokady, z kolei na blacie licznika, rzadziej na desce rozdzielczej, lampka ostrzegawcza gaśnie. [źródło opisu Wikipedia]

Jednak, jeśli nie masz prawidłowego klucza, samochód odmówi uruchomienia, a złodziej w tym miejscu mocno się zirytuje.

Wykładowca informatyki na Uniwersytecie w Birmingam w Wielkiej Brytanii i jego dwaj koledzy z Uniwersytetu Radboud w Holandii, znaleźli problemy z systemem Megamos Crypto, który jest stosowany w niektórych samochodach i próbowali podać do wiadomości publicznej informacje o słabych punktach tych zabezpieczeń.

Prezentacja dokumentacji z wyników badań została zaplanowana na sympozjum USENIX Security, która odbyła się w sierpniu 2013 roku i miała opisywać zarówno algorytm, jak i jego słabe strony.

Jednak nadzieje na publiczne ujawnienie tych wad zostały zniweczone przez zarządzenie brytyjskiego Wysokiego Trybunału Sprawiedliwości, który zabronił ujawnienia i publikacji najważniejszych części tych badań.

Sąd obawiał się, że badania przeprowadzone przez Flavio Garcia, Barisa Ege i Roela Verdult, pozwolą wykorzystać słabość zabezpieczeń przestępcom do kradzieży drogich samochodów, takich jak Audi, Bentley, Porche i Lamborghini.

Co ciekawe, do sądu wniosek o uciszenie naukowców złożył gigant produkcji samochodów Volkswagen i francuska grupa obrony Thales.

Teraz, w sierpniu 2015, z dwuletnim opóźnieniem, dokumentacja badań wyżej wymienionych naukowców została przedstawiona na konferencji bezpieczeństwa USENIX w Waszyngtonie. W szczegółach opisano, jak system Megamos Crypto jest używany do uruchamiania silników.

Innymi słowy naukowcy wyjaśnili, jak udało im się bezprzewodowo złamać elektroniczne zabezpieczenia immobilizerów samochodów – wyjaśnili technikę, która może być również wykorzystywana przez wyrafinowanych złodziei do kradzieży samochodów na zamówienie.

Sama praca naukowa jest do pobrania TUTAJ

Jak donosi Bloomberg, problemem nie jest ograniczenie do pojazdów klasy wyższej, takich jak te, które należą do Volkswagena, czyli Audi, Bentley i Porche, ale także Fiatów, Hond i Volvo, czyli samochodów popularnych. W poniższej tabeli, która pochodzi z pracy naukowej, są wskazane pojazdy, które wykorzystują Megamos Crypto, a te, na których eksperymentowano, wyróżniono pogrubieniem.

W swoim artykule, zatytułowanym „O demontażu Megamos Crypto: Bezprzewodowe wyłączanie immobilizera samochodowego”, naukowcy twierdzą, że znaleźli w Internecie oprogramowanie, zawierające algorytm Megamos Crypto i byli w stanie znaleźć słabości pozwalające na jego złamanie.

Niepokojący jest fakt, iż naukowcy twierdzą, że program był dostępny od 2009 roku, co dawałoby wiele możliwości dla łebskich przestępców. Badacze zgłosili tę dziurę w zabezpieczeniach do firmy EM Microelectronic, która produkuje mikroprocesory używane przez Volkswagena, już w 2012 roku, a następnie bezpośrednio Volkswagenowi w maju 2013 roku.

Roel Verdult wypowiadając się dla agencji Bloomberg, twierdzi, że ostateczna wersja prezentacji badań nie może spowodować, że wzrośnie ilość kradzieży, gdyż do tego byłyby potrzebne dodatkowe dane, których nie ujawniono.

Same badania w tym momencie raczej nie mogą być sposobem dla wyrafinowanych przestępców, kradnących luksusowe samochody, których producenci sprzedali miliony egzemplarzy z potencjalnie zagrożonymi systemami.

W dzisiejszych czasach nawet kradzież samochodu może stać się rodzajem cyberprzestępstwa. Wyładowane elektroniką i niekiedy połączone z Internetem maszyny są doskonałym celem dla hakerów. Nie tak dawno udowodniono, że jest możliwe zdalne sterowanie funkcjami auta, ale również zablokowanie jego hamulców. Wraz z rozwojem technologii i Internetu Rzeczy (nie tylko w motoryzacji) takie sytuacje będą zdarzać się coraz częściej.