A Toyota Prius és a Ford Escape már megvolt nekik, ezúttal a Jeep Cherokee sofőrjére hozták rá a sikító frászt.

A Jeep Cherokee-ban szerencsére a Wired újságírója ült, és a hackerek is csak demózni akarták, mi mindent művelhetnek a Fiat Chrysler (FCA) járműveire telepített Uconnect rendszerrel. Ennek ellenére a kísérlet olyan hatásosra sikerült, hogy a kipróbált tesztalany, Andy Greenberg – aki korábban már részt vett hasonló kísérletekben – saját bevallása szerint menet közben felhívta az informatikusokat, és könyörgött nekik, hogy fejezzék be a bemutatót.

A Jeepet most is az a két biztonsági kutató, Charlie Miller és Chris Valasek vette gondjaiba, akik ezelőtt egy Toyota Prius és egy Ford Escape modellen is bemutattak néhány lehetséges támadást. Ezúttal az óránként 70 mérföldes (kb. 100 kilométeres) sebességgel haladó Cherokee internetre csatlakozó rendszerében használtak ki egy sebezhetőséget, hogy egy sor gonosz trükköt követően végül egy árokba vezessék a két tonnás utcai terepjárót.

Ennyire okos az okos autó

A Uconnect – szemben azokkal a járművekkel, amelyek esetében csak a szórakoztató rendszerek támadhatók – lehetőséget ad rá, hogy a hackerek a GPS-től az ablaktörlőn át a fékek vagy a hajtás fölött is átvegyék az ellenőrzést. A kutatók állítólag most a kormányzás kontrollját csiszolgatják, amit jelenleg csak hátramenetben tudnak tökéletesen irányítani. Mindehhez képest a megfigyelés (a koordináták, a sebességadatok vagy az útvonal rögzítése) szinte már nem is érdekel senkit.

A biztonsági szakemberek egyébként kilenc hónappal ezelőtt tájékoztatták az FCA-t a felfedezett hibákról, a gyártó pedig csak július 16-án jött ki a rendszer frissítésével. Igaz, a frissítésre nem sikerült automatikus online megoldást találniuk, így a tulajdonosoknak az internetről kell letölteniük egy programot, amit fel kell pakolniuk egy flash drive-ra, hogy az autó USB csatlakozóján keresztül manuálisan frissítsék a Uconnectet.

Nincs ez még eléggé kitalálva

A 2013-ban bemutatott Uconnect frissítését még közel félmillió járműben kellene végrehajtani, ehhez pedig hozzá jönnek a többi gyártó hasonló megoldásai. A biztonsági kutatók a gyártó tájékoztatása mellett azért hozták nyilvánosságra a sebezhetőség részleteit (a chipek firmware-ének átírását kivéve), hogy a fogyasztók figyelmét is felhívják a problémákra, mivel véleményük szerint a vásárlók panaszainál nincs hatékonyabb módszer arra, hogy cselekvésre ösztönözzenek egy autógyártót.

A Toyota és a Ford állítólag nem vette komolyan előzetes figyelmeztetéseiket, így kezdtek el kísérletezni a járművek távoli hekkelésével. Chris Valasek a Wired tudósításában arról beszélt, hogy 2013-ban még azzal kritizálták őket, hogy felfedezéseik semmit sem számítanak, mert azokat a járművek dashboard-jára csatlakozva mutatták be. Na és akkor most mi legyen? – tette fel a kérdést a kilométerekről árokba vezetett Jeep Cherokee kapcsán.

Nem véletlen, hogy az autóipari fejlesztések szabályozásának kérdése az amerikai kongresszust is évek óta foglalkoztatja: egy feldühített alkalmazott például már 2010-ben több mint száz járművet tett használhatatlanná távoli hozzáféréssel, hogy kikényszerítse a vásárlókból az elmaradt fizetési részleteket. Az olyan innovációk esetében, mint amilyenek az önjáró autók, sem az az aggasztó, hogy az autó magától ütné majd el a gyalogosokat.

Az ügy szószólói szerint az információtechnológiai vállalatok évtizedek alatt jöttek rá, hogy a sebezhetőségeket feltáró hackereket nem üldözni, hanem éppen hogy támogatni kell – tekintettel a veszélyes üzemre, az autógyártóknak nem lesz ugyanerre 15-20 évük, mielőtt megtörténnek az első komoly balesetek. Ehhez képest a szabályozás és a szabványosítás jelenleg még az olyan kérdéseket sem igazán fedi le, mint amilyenek mondjuk a hangvezérlés biztonsági kockázatai – pedig ott a hackerek még be sem jöttek a képbe.

Biztonság

Előfizetésekből és pólókból is tollasodhatnak a youtuberek

Bár a YouTube-on lehet a legjobban keresni, a videósok túlnyomó többségének a hideg vízre való sem jön össze. A platform új szolgáltatásai most a sok követővel és kevés bevétellel futó csatornákon segítenének.
 
Hirdetés

A felhőből érkezhet megoldás a zsarolóvírusokra

Azonnal felismeri, kezeli és megoldást nyújt a felhő alapú Cloud CPE rendszer a megjelenő zsarolóvírusokra. Az egyedülálló szolgáltatáshoz a T-Systems Magyarország ügyfelei Európában elsőként férhetnek hozzá.

Mintakeresés és –felismerés a személyes adatok védelmének szolgálatában. Természetesen a mesterséges intelligencia aktív közreműködésével.

a melléklet támogatója az SAS Institute

Hirdetés

Öt lépés a GDPR-kompatibilis adatkezeléshez

Az adatmenedzsment komplex feladat, amit a GDPR bevezetésével minden korábbinál körültekintőbben kell kezelni a cégeknek, különösen a heterogén vállalati rendszerekben. A többlépcsős folyamaton a SAS Institute szakértője, Szász Viktor vezet végig.

Reakció „A CIO-k elmondták, hogy alkalmazható az agilitás egy nagyvállalatnál” című cikkünkre, amely a CIO Hungary 2018 konferencia tudásmegosztást segítő programjának tapasztalatait foglalta össze.

A CIO-k elmondták, hogy alkalmazható az agilitás egy nagyvállalatnál

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.