2 millió progresszív Snapshot ügyfelet veszélyeztethet az autóhackelés

alig két hónappal ezelőtt izraeli kiberbiztonsági kutatók feltörtek egy eszközt, amely egy autó diagnosztikai portjába csatlakozik, és megállapították, hogy távolról vezérelhetik a járművet a világ bármely pontjáról. Abban az időben a szimulált támadás úgy tűnt, mint egy kanári autóipari változata egy szénbányában. Ha a kutatók megsérthetik ezt az eszközt, talán más, a diagnosztikai portokba csatlakozó utángyártott termékek is sebezhetőek voltak?
röviden, egy másik kiberbiztonsági cég most arról számol be, hogy súlyos hibákat talált egy olyan eszközben, amelyet több mint 2 millió autós használ.
a floridai Digital Bond Labs kutatói azt mondják, hogy jelentős problémákat fedeztek fel egy olyan eszközben, amelyet a progresszív biztosítás használ a résztvevő ügyfelek vezetési szokásainak mérésére. A hardverkulcs visszafejtésével hozzáférést nyertek egy olyan hálózathoz, amely lehetővé teszi a kritikus járműfunkciók, például a kormányzás, a fékezés és a fojtószelep bemenetek vezérlését.

“azt találtuk ezzel a készülékkel, hogy biztonsági funkciók nélkül tervezték” – mondja Dale Peterson, a Digital Bond Labs alapítója és vezérigazgatója az Autoblognak. “Még az alapvető biztonsági kódolási gyakorlatokon sem alapult. … Ez egy ház, ahol nincsenek ajtók, ablakok és kerítések, benne értékekkel.”
Peterson hangsúlyozta, hogy ez nem arról szól, hogy a kutatók kihasználják a hardverkulcs biztonságának gyengeségét; egyszerűen az volt, hogy nem létezett biztonság.
Device Records Driver Data
a Progressive ezeket az eszközöket a Snapshot használat alapú biztosítási programjának részeként használja, amely 2008 óta működik. A dongle, amely az OBD-II diagnosztikai porthoz csatlakozik, adatokat gyűjt arról, hogy hány mérföldet hajt meg, milyen napszakokban működik a jármű, és milyen keményen fékez a vezető. Ezen járművezetői adatokért cserébe a körültekintő járművezetők akár 30 százalékos kedvezményt is kaphatnak díjaikból.
a cég szóvivője azt mondta, hogy a Progressive még nem látta a kutatást, és vizsgálja az állításokat.
“bízunk a pillanatfelvétel-eszközünk teljesítményében” – mondta a progresszív szóvivő írásbeli nyilatkozatában. “Hogy világos legyen, a kutató nem volt képes irányítani a jármű funkcióit, és nincs bizonyítékunk arra, hogy bárki más képes lett volna erre. Ugyanakkor nagyon komolyan vesszük a biztonságot, és szándékunkban áll alaposan kivizsgálni az ügyet.”
növekvő autóipari kiber-aggodalmak
a kiberfenyegetések az egész iparágra kiterjedő aggodalomra adnak okot az autógyártók körében. Az iparági elemzők egyre inkább a harmadik féltől származó eszközök elleni támadásokat tekintik aljasabb problémáknak, mint maguk az autók, mert lényegében lehetővé teszik a hackerek számára, hogy megkerüljék az autógyártó által bevezetett biztonságot.
Corey Thuen, a Digital Bond Labs kutatója először azt találta, hogy amint a progresszív dongle be van dugva a jármű helyi hálózatába, nem hitelesíti azt a mobilhálózatot, amelyen az információkat továbbítja a Progressive felé, és nem titkosítja az üzeneteit. Azt is mondja: “a firmware nincs aláírva vagy érvényesítve, és nincs biztonságos rendszerindítási funkció. Ezenkívül az eszköz a közismerten nem biztonságos FTP protokollt használja.”
a Snapshot dongle hozzáférést biztosít ugyanahhoz a hálózathoz, amely elektronikus vezérlőegységeket tartalmaz, amelyek tucatnyi járműfunkciót vezérelnek, mindent a légzsák telepítésétől a motorig. Miután belépett a hálózatba, egy hacker rosszindulatú kódokat küldhet ezeknek az ECU-knak, amelyek felülbírálják a vezető bemeneteit és irányítják a járművet.
“ha valaki feltörte a progresszív felhőt, akkor az összes autóhoz eljuthat, ahol ez van” – mondta Peterson. “Küldhetnek dolgokat ezeknek a hardverkulcsoknak, és potenciálisan nagyon rossz dolgokat tehetnek.”
novemberben az Izraeli Argus kiberbiztonsági kutatók információkat tettek közzé ezen harmadik féltől származó eszközök egyikének feltöréséről. Azt állították, hogy kihasználják a Zubie biztonsági rését, egy dongle-t, amely a járművezetőket utazási információkkal, az autó teljesítményével és a vezető viselkedésével látja el.
miután bejutottak, az Argus kutatói kinyitották az ajtókat és manipulálták a műszercsoport leolvasásait. Azt mondják, hogy a jármű motorját, fékeit és kormányelemeit is irányíthatták egy távoli helyről.
“a dolgok internetében ez csak egy újabb példa arra, hogy mi történik, ha kommunikációs képességet adunk olyan dolgokhoz, amelyek általában nem rendelkeznek velük” – mondta Peterson. “Az aggodalom az, amikor biztonsági ellenőrzések nélkül adják hozzá őket.”

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.