A Jeep Cherokee-ban szerencsére a Wired újságírója ült, és a hackerek is csak demózni akarták, mi mindent művelhetnek a Fiat Chrysler (FCA) járműveire telepített Uconnect rendszerrel. Ennek ellenére a kísérlet olyan hatásosra sikerült, hogy a kipróbált tesztalany, Andy Greenberg – aki korábban már részt vett hasonló kísérletekben – saját bevallása szerint menet közben felhívta az informatikusokat, és könyörgött nekik, hogy fejezzék be a bemutatót.
A Jeepet most is az a két biztonsági kutató, Charlie Miller és Chris Valasek vette gondjaiba, akik ezelőtt egy Toyota Prius és egy Ford Escape modellen is bemutattak néhány lehetséges támadást. Ezúttal az óránként 70 mérföldes (kb. 100 kilométeres) sebességgel haladó Cherokee internetre csatlakozó rendszerében használtak ki egy sebezhetőséget, hogy egy sor gonosz trükköt követően végül egy árokba vezessék a két tonnás utcai terepjárót.
Ennyire okos az okos autó
A Uconnect – szemben azokkal a járművekkel, amelyek esetében csak a szórakoztató rendszerek támadhatók – lehetőséget ad rá, hogy a hackerek a GPS-től az ablaktörlőn át a fékek vagy a hajtás fölött is átvegyék az ellenőrzést. A kutatók állítólag most a kormányzás kontrollját csiszolgatják, amit jelenleg csak hátramenetben tudnak tökéletesen irányítani. Mindehhez képest a megfigyelés (a koordináták, a sebességadatok vagy az útvonal rögzítése) szinte már nem is érdekel senkit.
A biztonsági szakemberek egyébként kilenc hónappal ezelőtt tájékoztatták az FCA-t a felfedezett hibákról, a gyártó pedig csak július 16-án jött ki a rendszer frissítésével. Igaz, a frissítésre nem sikerült automatikus online megoldást találniuk, így a tulajdonosoknak az internetről kell letölteniük egy programot, amit fel kell pakolniuk egy flash drive-ra, hogy az autó USB csatlakozóján keresztül manuálisan frissítsék a Uconnectet.
Nincs ez még eléggé kitalálva
A 2013-ban bemutatott Uconnect frissítését még közel félmillió járműben kellene végrehajtani, ehhez pedig hozzá jönnek a többi gyártó hasonló megoldásai. A biztonsági kutatók a gyártó tájékoztatása mellett azért hozták nyilvánosságra a sebezhetőség részleteit (a chipek firmware-ének átírását kivéve), hogy a fogyasztók figyelmét is felhívják a problémákra, mivel véleményük szerint a vásárlók panaszainál nincs hatékonyabb módszer arra, hogy cselekvésre ösztönözzenek egy autógyártót.
A Toyota és a Ford állítólag nem vette komolyan előzetes figyelmeztetéseiket, így kezdtek el kísérletezni a járművek távoli hekkelésével. Chris Valasek a Wired tudósításában arról beszélt, hogy 2013-ban még azzal kritizálták őket, hogy felfedezéseik semmit sem számítanak, mert azokat a járművek dashboard-jára csatlakozva mutatták be. Na és akkor most mi legyen? – tette fel a kérdést a kilométerekről árokba vezetett Jeep Cherokee kapcsán.
Nem véletlen, hogy az autóipari fejlesztések szabályozásának kérdése az amerikai kongresszust is évek óta foglalkoztatja: egy feldühített alkalmazott például már 2010-ben több mint száz járművet tett használhatatlanná távoli hozzáféréssel, hogy kikényszerítse a vásárlókból az elmaradt fizetési részleteket. Az olyan innovációk esetében, mint amilyenek az önjáró autók, sem az az aggasztó, hogy az autó magától ütné majd el a gyalogosokat.
Az ügy szószólói szerint az információtechnológiai vállalatok évtizedek alatt jöttek rá, hogy a sebezhetőségeket feltáró hackereket nem üldözni, hanem éppen hogy támogatni kell – tekintettel a veszélyes üzemre, az autógyártóknak nem lesz ugyanerre 15-20 évük, mielőtt megtörténnek az első komoly balesetek. Ehhez képest a szabályozás és a szabványosítás jelenleg még az olyan kérdéseket sem igazán fedi le, mint amilyenek mondjuk a hangvezérlés biztonsági kockázatai – pedig ott a hackerek még be sem jöttek a képbe.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak