1,4 mln aut podatnych na zdalny atak otrzyma aktualizację firmware

O autorze

Adam Golański

@eimi

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Luka w oprogramowaniu najnowszych samochodów, która pozwoliła na zdalne uzyskanie do nich dostępu i przejęcie kontroli nad przepustnicą, hamulcami, a nawet układem kierowniczym, ma zostać załatana, przynajmniej w kilku modelach. Fiat Chrysler NV ogłosił, że wzywa 1,4 mln właścicieli podatnych aut do autoryzowanych serwisów, gdzie ich firmware zostanie zaktualizowane. Ci, którzy nie będą mogli osobiście się stawić w serwisach, otrzymają pocztą pendrive z odpowiednią łatką.

Przedstawiciele Fiata Chryslera podkreślają, że nie są znane żadne przypadki zastosowania odkrytej przez badaczy Charliego Millera i Chrisa Valaseka luki, i działanie takie wynika jedynie z najwyższej troski o bezpieczeństwo kierowców. Trudno oczywiście w to uwierzyć – wcześniej czy później ataki takie zaczną występować w rzeczywistości, choćby ze względu na rosnącą złożoność wbudowanych systemów multimedialnych, podłączanych do szyny CAN auta.

Nie jest bowiem możliwe stworzenie szyny CAN działającej tylko w trybie do odczytu – podsystemy samochodu wysyłają swoje komunikaty i polecenia, o priorytecie wyznaczonym unikatowymi identyfikatorami, a reagują na nie inne podsystemy. W teorii radio nie powinno umieć wysłać komunikatu o wykryciu bliskiej kolizji i konieczności uaktywnienia hamulców, ale złośliwe malware takiego komunikatu może się nauczyć – i wiadomość rozesłać. Dlatego te wszystkie najnowsze auta, korzystające jednak z magistrali danych pamiętającej lata osiemdziesiąte, nigdy nie będą w pełni bezpieczne, chyba że zaczną być w nich stosowane niezgodne ze standardem zapory sieciowe. Sam CAN nie posiada bowiem żadnych mechanizmów ochronnych ani nie stosuje żadnych protokołów uwierzytelnienia.