«Στις 8 Νοεμβρίου 2014, πρώην μέλη της Ισραηλινής Μονάδας Πληροφοριών 8200 ανακοίνωσαν ότι είχαν παραβιάσει εξ αποστάσεως ένα αυτοκίνητο που περιείχε μια ηλεκτρονική συσκευή με σημαντική ευπάθεια ασφαλείας», γράφει σε άρθρο της η ειδικός Γκάντα Μοχάμεντ Αμέρ, Διευθύνουσα Σύμβουλος της Middle East Information Technology Company, Fellow and Lecturer – Military Academy for Postgraduate and Strategic Studies με έδρα το Κάιρο.
Πλήρης έλεγχος του αυτοκινήτου εξ αποστάσεως
Μόλις εκμεταλλεύτηκαν την ευπάθεια στη συσκευή, που ονομάζεται Zubie, μπόρεσαν να ελέγξουν τις λειτουργίες του οχήματος, όπως το άνοιγμα των θυρών και τον χειρισμό των ενδείξεων του πίνακα οργάνων.
Αυτά τα άτομα – που τώρα έχουν ιδρύσει την Argus Cyber Security – ανέφεραν ότι ήταν επίσης σε θέση να ελέγχουν τον κινητήρα, τα φρένα και τα εξαρτήματα του συστήματος διεύθυνσης του οχήματος.
Αν και αυτό το hack ήταν τρομακτικά επικίνδυνο επειδή ήταν απομακρυσμένο, το θέμα καλύφθηκε για να μην επηρεαστεί η σύγχρονη αυτοκινητοβιομηχανία ειδικότερα και η ηλεκτρική βιομηχανία γενικότερα.
Ορισμένοι αξιωματούχοι του κλάδου υποβάθμισαν ακόμη και την πιθανότητα κάποιος να εξαπολύσει μια απομακρυσμένη επίθεση με κακόβουλη πρόθεση.
Προηγουμένως, αν και πριν από το περιστατικό Argus, οι ερευνητές κυβερνοασφάλειας στην Ισραηλινή Μονάδα 8200 μπορούσαν επίσης να εισβάλουν σε αυτοκίνητα και να ελέγξουν τις βασικές λειτουργίες είτε μέσω φυσικής σύνδεσης με το όχημα είτε εξ αποστάσεως καταλαμβάνοντας στην ουσία το αυτοκίνητο από απόσταση «οπουδήποτε στον κόσμο».
Επικίνδυνη δράση των χάκερ
Το ελάττωμα για το οποίο μιλούσαν ήταν στο Zubie, μια συσκευή aftermarket που προορίζεται να κάνει τα αυτοκίνητα πιο ασφαλή , λαμβάνει δεδομένα σχετικά με τις οδηγικές συνήθειες, την απόδοση του οχήματος και πληροφορίες ταξιδιού.
Συσκευές όπως το Zubie κερδίζουν δημοτικότητα μεταξύ των οδηγών και των εταιρειών ασφάλισης αυτοκινήτων, επειδή παρέχουν πληροφορίες σχετικά με τις συνήθειες οδήγησης και προωθούν την καλή συμπεριφορά κατά την οδήγηση.
Ορισμένες ασφαλιστικές εταιρείες προσφέρουν στους αυτοκινητιστές εκπτώσεις για καλή οδήγηση με βάση αυτά τα δεδομένα. Η συσκευή μεταδίδει τις πληροφορίες μέσω μιας σύνδεσης που βασίζεται σε cloud, η οποία σε αυτήν την περίπτωση αποδεικνύεται ότι δεν είναι ασφαλής.
Έτσι, οι χάκερ λένε ότι μπορούν να πάρουν τον έλεγχο του γκαζιού και των πεντάλ φρένων από τον οδηγό στα αυτοκίνητα και έτσι μπορούν να ελέγξουν/απενεργοποιήσουν το τιμόνι σε οχήματα με αυτόνομη διόρθωση λωρίδας ή συστήματα αυτοστάθμευσης.
«Θα υπάρχουν πάντα τρωτά σημεία»
«Η υπόθεση του 2014 είναι μία από τις πολλές πιθανές περιπτώσεις και θα υπάρχουν πάντα νέα τρωτά σημεία», είπε ο επικεφαλής τεχνολογίας της Argus, είπε ότι όσο πιο προηγμένο είναι ένα αυτοκίνητο, τόσο περισσότερο τα συστήματά του βρίσκονται υπό τον έλεγχο των ηλεκτρονικών μονάδων ελέγχου του.
«Ως εκ τούτου, υπάρχει πραγματική ανάγκη να γεφυρωθεί το χάσμα μεταξύ των τεράστιων πιθανών οφελών και των πιθανών κινδύνων του».
Εκτός από την άμεση και προφανή απειλή ενός χάκερ που θα καταλάβει ένα αυτοκίνητο από απόσταση, οι ερευνητές της Argus λένε ότι θα μπορούσαν επίσης να παραβιάζουν το απόρρητο των οδηγών, καθώς μπορούσαν να παρακολουθούν την τοποθεσία του αυτοκινήτου και την οδηγική συμπεριφορά.
Εάν ήθελαν, μπορούσαν να μεταφέρουν αυτά τα δεδομένα σε τρίτους.
Ο δημοσιογράφος πείραμα
Ως μέρος της επιχείρησης πειρατείας τους, δύο μέλη της ομάδας μετέδωσαν τις εικόνες κινουμένων σχεδίων τους στην οθόνη του κέντρου ψυχαγωγίας ενός Chrysler Jeep που οδηγούσε με πλήρη ταχύτητα ο δημοσιογράφος του Wired, Άντι Γκρίνμπεργκ έλεγξε ακόμη και το γκάζι
– Κάτι που τρόμαξε τον δημοσιογράφο Γκρίνμπεργκ σε σημείο που αναγκάστηκε να «εγκαταλείψει κάθε εμφάνιση θάρρους και να παρακαλέσει τους πειρατές να σταματήσουν το αυτοκίνητο».
Το χακάρισμα τηλεκατευθυνόμενων αυτοκινήτων έφτασε, καθώς και οι δύο βασίστηκαν εξ ολοκλήρου στη σύνδεση Wi-Fi του Jeep, εκμεταλλευόμενοι την αδυναμία του λογισμικού “Uconnect” της Chrysler, το οποίο επιτρέπει τη σύνδεση στο Διαδίκτυο σε εκατοντάδες χιλιάδες αυτοκίνητα “Chrysler” και “Fiat”.
Το μόνο που πρέπει να κάνει ένας χάκερ είναι να προσδιορίσει τη διεύθυνση IP του αυτοκινήτου – πρέπει φυσικά να έχει μία για να έχει πρόσβαση στο Διαδίκτυο – και το υπόλοιπο είναι η δημιουργία σεναρίων, παρόμοια με τον έλεγχο ενός απομακρυσμένου υπολογιστή, smartphone ή άλλης συσκευής στο Διαδίκτυο.
Υπήρχε προηγούμενο επίθεσης σε λογισμικό αυτοκινήτου
Η έκθεση του 2014 δεν ήταν η πρώτη της Argus: έκαναν επίθεση το 2013 όταν ανέλαβαν τον έλεγχο του συστήματος πέδησης στα Ford Escape και Toyota Prius – αλλά με φορητούς υπολογιστές συνδεδεμένους στους υπολογιστές των αυτοκινήτων.
Με λίγη προσπάθεια, οι χάκερ απέκτησαν πρόσβαση στις ηλεκτρονικές μονάδες ελέγχου του οχήματος, επιτρέποντας την παραβίαση του κινητήρα, των φρένων, των αερόσακων και άλλων συστημάτων ασφαλείας ή εξαρτημάτων του οχήματος, είπε η εταιρεία.
Σύμφωνα με την Upstream , μια πλατφόρμα κυβερνοασφάλειας και διαχείρισης δεδομένων για συνδεδεμένα αυτοκίνητα, με έδρα την Herzliya του Ισραήλ, τα περιστατικά ασφάλειας στον κυβερνοχώρο που εντοπίστηκαν στον τομέα της αυτοκινητοβιομηχανίας και της κινητικότητας αυξήθηκαν από το 2019 έως το 2023 κατά περισσότερο από 50%.
Η έκθεση ανέφερε ότι περίπου το 64 % αυτών των επιθέσεων πραγματοποιήθηκαν από «κακούς εγκληματίες» με κακόβουλη πρόθεση!
Τώρα είναι βέβαιο ότι όλα τα αυτοκίνητά μας με λογισμικό, ειδικά αυτά με ηλεκτρικούς κινητήρες και μπαταρίες, αντιμετωπίζουν έναν άνευ προηγουμένου κίνδυνο από επιθέσεις στον κυβερνοχώρο, πολυάριθμα περιστατικά παραβιάσεων δεδομένων, επιθέσεων ransomware και μη εξουσιοδοτημένης πρόσβασης σε όλη την παγκόσμια αλυσίδα εφοδιασμού.
Αυτοί που τους οδηγούσαν ανά πάσα στιγμή, το περιστατικό θα μπορούσε να θεωρηθεί αυτοκτονία ή θέλημα του Θεού, και ως εκ τούτου μπορεί να χρησιμοποιηθεί ακριβώς όπως το Ισραήλ χρησιμοποίησε ένα τηλεφωνητή ή ραδιοτηλέφωνο για να πραγματοποιήσει δολοφονίες χωρίς καμία απόδοση ή κατηγορία εναντίον του.
—
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου