Megcsinálták még egyszer: miután sikeresen feltörték a Toyota Prius és a Ford Escape informatikai rendszerét, Charlie Miller és Chris Valasek biztonsági kutatók most egy Jeep Cherokeet hekkeltek meg.
Ez a feltörés azonban még hatásosabb volt, mivel a kutatópáros ezúttal távolról vette át az ellenőrzést a jármű felett. Az önkéntes áldozat 100 km/órás sebességgel haladt az autópályán, amikor a kihasználó kód működésbe lépett.
„Ahogy a két hacker távolról játszott a légkondicionálóval, a rádióval és az ablaktisztító lapátokkal, büszke voltam, hogy meg tudtam őrizni a nyugalmamat. Ekkor kikapcsolták az erőátvitelt.”
A Wired magazin cikke érzékletesen meséli el az önkéntes áldozat által elmondottak alapján, hogy mi volt a vezető reakciója, amikor az internetre kapcsolódó, okos autója különös viselkedésbe kezdett. A kormány mögött ülő Andy Greenberg újságíró elmondta, hogy a kutatók átvették a gázpedál és a fék, valamint néhány kevésbé életfontosságú elem, a rádió, a duda és az ablaktörlők vezérlését. Ehhez Chrisnek és Charlienak a Uconnect szórakoztató rendszert kellett meghekkelniük mobilhálózaton keresztül.
Szerencsére a történtek nem maradtak következmények nélkül. Mind az operációs rendszer fejlesztője, mind az autógyártók fontos és elengedhetetlenül szükséges kiberbiztonsági óvintézkedéseket vezetnek be az ilyen incidensek megakadályozására.
„Amikor kiderült, hogy bárhol meg tudjuk csinálni az interneten keresztül, megdöbbentem és megijedtem. Átvenni az ellenőrzést egy jármű felett az autópályán, az ország kellős közepén: az autók meghekkelése valósággá vált.” – mondta Chris Valasek.
Sajnos azonban ezek a fontos intézkedések sem elegendőek. A nagy szoftvergyártók, mint például a Microsoft és az Apple, éveket töltöttek annak kidolgozásával, hogy miképpen foltozzák be hatékonyan a termékeikben lévő biztonsági réseket. Az autóiparnak nincs ennyi ideje. Ráadásul nem ez az első eset, amikor meghekkeltek egy autót, és még mindig egy sor biztonsági probléma vár megoldásra.
Aztán lesznek további járművek, ugyanilyen sérülékenységekkel. Miller és Valasek nem vizsgálta a Ford, a General Motors és más autógyártók által készített modelleket. Ami még ennél is rosszabb, Miller szerint egy képzett hacker Uconnect egységek egész csoportja felett át tudja venni az ellenőrzést, és további szkenneléseket tud végrehajtani a segítségükkel – csakúgy, mint a feltört számítógépek csoportjával teszik manapság – az egyik irányítópultról a másikra vándorolva a Sprint hálózatán. Az eredmény egy vezeték nélküli kapcsolattal vezérelhető, autókból álló bothálózat, amely több százezernyi járművet tartalmazhat. Ez kiváló alapjául szolgálhat terrorista akcióknak és államok által támogatott kibertámadásoknak.
„A Kaspersky Lab-nél hiszünk abban, hogy elkerülhetők lesznek az ilyen típusú incidensek. Ehhez az autógyártóknak két alapelvet kell szem előtt tartaniuk az okos architektúrák fejlesztésekor: izoláció és ellenőrzött kommunikáció.” – mondta Sergey Lozhkin, a Kaspersky Lab GReAT részlegének vezető biztonsági kutatója.
„Az izoláció azt jelenti, hogy két különálló rendszer nem lehet hatással egymásra. Például a szórakoztató rendszer nem befolyásolhatja a vezérlő rendszer működését oly módon, ahogy azt a Jeep Cherokee-nél tapasztalták a kutatók. Az ellenőrzött kommunikáció pedig azt jelenti, hogy az autó bejövő és kimenő kommunikációját titkosítják és hitelesítik. A Jeep-pel történt kísérlet eredménye szerint a hitelesítési algoritmus gyenge/sebezhető volt, vagy a titkosítást nem megfelelően alkalmazták.”
Amíg iparági szinten nem történik meg a biztonsági problémák megoldása, elgondolkozhatunk azon, hogy nem lenne-e jobb áttérni a kerékpárra, lovakra vagy a régebbi autókra. Ezeket legalább nem lehetett meghekkelni.