1,4 mln aut podatnych na zdalny atak otrzyma aktualizację firmware Strona główna Aktualności26.07.2015 09:28 Udostępnij: O autorze Adam Golański @eimi Luka w oprogramowaniu najnowszych samochodów, która pozwoliła na zdalne uzyskanie do nich dostępu i przejęcie kontroli nad przepustnicą, hamulcami, a nawet układem kierowniczym, ma zostać załatana, przynajmniej w kilku modelach. Fiat Chrysler NV ogłosił, że wzywa 1,4 mln właścicieli podatnych aut do autoryzowanych serwisów, gdzie ich firmware zostanie zaktualizowane. Ci, którzy nie będą mogli osobiście się stawić w serwisach, otrzymają pocztą pendrive z odpowiednią łatką. Przedstawiciele Fiata Chryslera podkreślają, że nie są znane żadne przypadki zastosowania odkrytej przez badaczy Charliego Millera i Chrisa Valaseka luki, i działanie takie wynika jedynie z najwyższej troski o bezpieczeństwo kierowców. Trudno oczywiście w to uwierzyć – wcześniej czy później ataki takie zaczną występować w rzeczywistości, choćby ze względu na rosnącą złożoność wbudowanych systemów multimedialnych, podłączanych do szyny CAN auta. Nie jest bowiem możliwe stworzenie szyny CAN działającej tylko w trybie do odczytu – podsystemy samochodu wysyłają swoje komunikaty i polecenia, o priorytecie wyznaczonym unikatowymi identyfikatorami, a reagują na nie inne podsystemy. W teorii radio nie powinno umieć wysłać komunikatu o wykryciu bliskiej kolizji i konieczności uaktywnienia hamulców, ale złośliwe malware takiego komunikatu może się nauczyć – i wiadomość rozesłać. Dlatego te wszystkie najnowsze auta, korzystające jednak z magistrali danych pamiętającej lata osiemdziesiąte, nigdy nie będą w pełni bezpieczne, chyba że zaczną być w nich stosowane niezgodne ze standardem zapory sieciowe. Sam CAN nie posiada bowiem żadnych mechanizmów ochronnych ani nie stosuje żadnych protokołów uwierzytelnienia. Sprzęt Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Atak "cold boot" na smartfony LG. Pobierz łatkę – problem dotyczy modeli nawet sprzed 7 lat 3 cze 2020 Oskar Ziomek Oprogramowanie Bezpieczeństwo 33 Ataki DDoS zamiast agregacji newsów, czyli podstępna aplikacja na Androida 12 maj 2020 Oskar Ziomek Oprogramowanie Bezpieczeństwo 9 CERT Polska ostrzega przed atakiem wymierzonym we właścicieli stron internetowych 9 lip 2020 Piotr Urbaniak Internet Bezpieczeństwo 19 Jak aktualizować sterowniki w (teoretycznie) bezpieczny sposób? 10 maj 2020 Kamil J. Dudek Oprogramowanie Sprzęt Bezpieczeństwo IT.Pro 75
Udostępnij: O autorze Adam Golański @eimi Luka w oprogramowaniu najnowszych samochodów, która pozwoliła na zdalne uzyskanie do nich dostępu i przejęcie kontroli nad przepustnicą, hamulcami, a nawet układem kierowniczym, ma zostać załatana, przynajmniej w kilku modelach. Fiat Chrysler NV ogłosił, że wzywa 1,4 mln właścicieli podatnych aut do autoryzowanych serwisów, gdzie ich firmware zostanie zaktualizowane. Ci, którzy nie będą mogli osobiście się stawić w serwisach, otrzymają pocztą pendrive z odpowiednią łatką. Przedstawiciele Fiata Chryslera podkreślają, że nie są znane żadne przypadki zastosowania odkrytej przez badaczy Charliego Millera i Chrisa Valaseka luki, i działanie takie wynika jedynie z najwyższej troski o bezpieczeństwo kierowców. Trudno oczywiście w to uwierzyć – wcześniej czy później ataki takie zaczną występować w rzeczywistości, choćby ze względu na rosnącą złożoność wbudowanych systemów multimedialnych, podłączanych do szyny CAN auta. Nie jest bowiem możliwe stworzenie szyny CAN działającej tylko w trybie do odczytu – podsystemy samochodu wysyłają swoje komunikaty i polecenia, o priorytecie wyznaczonym unikatowymi identyfikatorami, a reagują na nie inne podsystemy. W teorii radio nie powinno umieć wysłać komunikatu o wykryciu bliskiej kolizji i konieczności uaktywnienia hamulców, ale złośliwe malware takiego komunikatu może się nauczyć – i wiadomość rozesłać. Dlatego te wszystkie najnowsze auta, korzystające jednak z magistrali danych pamiętającej lata osiemdziesiąte, nigdy nie będą w pełni bezpieczne, chyba że zaczną być w nich stosowane niezgodne ze standardem zapory sieciowe. Sam CAN nie posiada bowiem żadnych mechanizmów ochronnych ani nie stosuje żadnych protokołów uwierzytelnienia. Sprzęt Udostępnij: © dobreprogramy Zgłoś błąd w publikacji