Sygnalizacja świetlna podłączona do internetu ma wady – można nią manipulować

Sygnalizacja świetlna podłączona do internetu ma wady – można nią manipulować
08.08.2020 09:14
Badacze sprawdzili sygnalizację dla rowerzystów w Holandii, fot. Pixabay
Badacze sprawdzili sygnalizację dla rowerzystów w Holandii, fot. Pixabay

Sygnalizacja świetlna, która dynamicznie reaguje na ruch na skrzyżowaniach, może być celem dla hakerów. Jak ustalili badacze z grupy Zolder, na co zwrócił uwagę Niebezpiecznik, ruch na niektórych skrzyżowaniach można kontrolować z laptopa, o ile odpowiednio wykorzysta się mechanizmy sterujące ruchem. Na tapet trafiły nowoczesne sygnalizacje świetlne dla rowerzystów, które działają w Holandii.

Największym atutem (ale i wadą w kontekście niniejszego opisu) systemów, które są tam stosowane, jest ich podłączenie do sieci i współpraca z mobilnymi aplikacjami. Rowerzyści, którzy korzystają z odpowiedniego programu w smartfonie, mogą w ten sposób zyskać płynność przejazdu przez skrzyżowania – jeśli sytuacja na drodze na to pozwala, aplikacja komunikuje się z sygnalizacją, skutkując "zieloną falą" dla cyklisty.

DEF CON Safe Mode - Wesley Neelen and Rik van Duijn - Hacking Traffic Lights

Jak się okazało (czego szczegóły są przedstawiane w powyższym filmie), mechanizm ten można w prosty sposób wykorzystać, aby sterować sygnalizacją bez udziału rowerzystów. Badaczom udało się ustalić, że do komunikacji aplikacji z podłączonymi sygnalizacjami wykorzystywany jest protokół MQTT, który jest często stosowany do przesyłania informacji między urządzeniami w ramach Internetu Rzeczy.

Po uzyskaniu adresu serwera i danych uwierzytelniających, badacze opracowali skrypt modyfikujący właściwości przesyłanych tą drogą obiektów CAN, które odpowiadają kolejnym uczestnikom ruchu. To wystarczyło, aby – odpowiednio manipulując przesyłanymi komunikatami – w praktyce na żądanie zmieniać sygnalizację świetlną na danym skrzyżowaniu. Oczywiście bez obecności realnych rowerzystów, a jedynie z wykorzystaniem komputera z internetem.

System systemowi nierówny

Co ciekawe, badacze sprawdzili także inny system obsługi sygnalizacji świetlnej. Ten działa co prawda tylko w 10 miastach w Holandii, ale manipulacja nim okazała się jeszcze łatwiejsza. Wystarczyło spreparować żądania POST, które następnie bez żadnego uwierzytelniania były wysyłane do sygnalizacji świetlnej. W efekcie, tutaj także wystarczył laptop z odpowiednim skryptem, aby wpływać na działanie sygnalizacji.

Chociaż manipulowanie sygnalizacją świetlną może budzić obawy związane z ewentualnymi wypadkami, warto wyraźnie zaznaczyć, że w tym przypadku – poza możliwością wywołania frustracji kierowców – rzecz nie stanowi bezpośredniego zagrożenia dla uczestników ruchu.

Zolder - hacking traffic lights - demo 1

Badaczom udało się bowiem jedynie wpłynąć na system rozpoznający rowerzystów (i sugerować ich obecność mimo braku uczestników ruchu na danym skrzyżowaniu), a nie system realnie przełączający kolory świateł. Po wysłaniu spreparowanej informacji o obecności rowerzysty, to od danej sygnalizacji zależy obsługa tego zgłoszenia. W efekcie, zielone światło dla rowerzysty może się włączyć od razu (jeśli pozwalają na to warunki) lub po kilku czy kilkunastu sekundach, ale sam proces przełączania świateł nie jest zaburzony – na drodze przecinającej przejazd włączy się więc światło czerwone.

Mimo teoretycznego braku bezpośredniego zagrożenia dla zdrowia i życia uczestników ruchu po takim "ataku", opisywany przypadek pokazuje, jak istotne jest zwracanie uwagi na bezpieczeństwo przez twórców urządzeń i maszyn, które w dzisiejszym świecie są stale podłączone do internetu. Zaledwie wczoraj opisywaliśmy luki w Mercedesie Klasy E, w praktyce będące podobnym przykładem. Istotą obydwu przypadków jest bowiem brak poświęcenia przez twórców należytej uwagi tematowi bezpieczeństwa sprzętu naszpikowanego oprogramowaniem.

Programy

Aktualizacje
Aktualizacje
Nowości
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (24)