Хакеры смогли взять под контроль движущийся Jeep Cherokee

Два исследователя компьютерной безопасности продемонстрировали, что могут взять под контроль движущийся Jeep Cherokee через систему беспроводного подключения автомобиля к интернету, пишет The Wall Street Journal. Это ставит новые вопросы о безопасности интернет-подключенных автомобилей, отмечает издание.

Два специалиста, сотрудник Twitter Чарли Миллер и директор охранной фирмы IOActive Крис Валасек, продемонстрировали в статье и видео, опубликованных в журнале Wired, возможность дистанционного бесконтактного доступа к системам автомобиля Jeep Cherokee. До этого исследователи, много лет занимавшиеся поиском уязвимостей в подключаемых к сетям автомобилях (connected cars), могли получить доступ к автомобильным системам только путем взлома с ноутбука, подключенного к движущемуся транспортному средству через кабель.

Fiat Chrysler Automobiles, владелец бренда Jeep, во вторник проклинал исследователей за раскрытие информации о возможности взломать программное обеспечение кроссовера и дистанционно управлять его кондиционером, музыкальной системой и менять скорость движения.

Хакеры, один из которых ранее работал аналитиком Агентства национальной безопасности (АНБ), возражают, что хотят только привлечь внимание к проблеме, которую слишком долго игнорируют автопроизводители.

Производитель Jeep, контактировавший с хакерами в течение нескольких месяцев, уже выпустил на прошлой неделе заплатку для программного обеспечения, что, по его заявлению, закрывает брешь в безопасности. Клиенты должны посетить дилерский центр или самостоятельно установить обновление USB-карты.

"Ни при каких обстоятельствах FCA не будет мириться и не поверит, что было целесообразным раскрывать"информацию о средствах и методах выполнения", которая потенциально стимулирует или может помочь хакерам получить несанкционированный и незаконный доступ к системам транспортных средств", – заявил автопроизводитель.

Пока не ясно, в скольких машинах существует проблема безопасности. С начала года продано более 105 000 Jeep Cherokee, согласно данным Autodata. Исследователи считают, что уязвимость существует в любой машине Chrysler, выпущенной с конца 2013 г. по начало 2015 г., оснащенной системой Uconnect.

Миллер отстаивает право публиковать информацию, утверждая, что он повышает безопасность автомобилей, привлекая к проблеме внимание. "Мы вместе хотим одного – обезопасить водителей от кибератак, – сказал Миллер, который использует для работы по компьютерному взлому инструменты, разработанные АНБ. – Все, что я могу сделать, – указать на недостатки в этих транспортных средствах, помочь другим исследователям работать над этим и дать рекомендации".

Миллер и Валасек скрыли некоторые из выявленных изъянов для предотвращения простого копирования их метода, которое могло бы посеять хаос на шоссе. Но они показывают на видео, что они могут эффективно отключать привод автомобиля или, когда он движется с меньшей скоростью, тормоза. Исследователи говорят, что они дадут более подробную информацию на хакерской конференции Black Hat в следующем месяце.

Демонстрация уязвимости происходит на фоне опасений о легкодоступности автомобилей американского рынка для хакеров, которые могут перехватить управление транспортным средством или получить доступ к конфиденциальной информации владельца. Другая группа исследователей обещает в следующем месяце показать, как можно взломать электромобиль Tesla Motors. Представители службы безопасности компании будут присутствовать на конференции в Лас-Вегасе, где будет обсуждаться безопасность их машин, но это не значит, что автомобили доступны для хакеров, сказала Tesla. В прошлом году компания посылала менеджера на съезд хакеров Def Con в Лас-Вегасе, чтобы нанять хакеров для проверки своих автомобилей.

В феврале офис сенатора от Массачусетса Эдварда Марки выпустил доклад, в котором утверждается, что почти все легковые и грузовые автомобили на дорогах США, использующие беспроводные технологии, подвержены взлому или позволяют получить доступ к частной информации. В докладе приводятся мнения более десятка производителей, приводящих к выводу, что хакеры могут проникать в компьютерные системы транспортных средств, получить контроль над рулевым механизмом, тормозами и другими функциями машин. В докладе также выражена обеспокоенность, что компании раздают третьим лицам информацию с навигационных систем и устройств сбора данных.

Марки и его коллега от штата Коннектикут Ричард Блюменталь во вторник представили законопроект, который требует от чиновников Национальной администрации безопасности дорожного движения (NHTSA) и Федеральной торговой комиссии разработать стандарты обеспечения безопасности транспортных средств и защиты неприкосновенности частной жизни потребителей. Законодатели также могут создать рейтинг киберсистем для информирования потребителей о степени защиты автомобилей от атак хакеров. "Водители не должны выбирать между тем, быть подключенными или быть защищенными, – сказал Марки. – Нам нужны четкие правила на дороге, которые защищают автомобили от хакеров и американские семьи от охотников за данными".

Почти все современные автомобили, а не только те, которые производятся Fiat Chrysler, имеют компьютеризованные системы, которые являются потенциальными целями для хакеров. Большинство крупных автомобильных компаний уже обратили на проблему внимание. Например, General Motors совместно с NHTSA работает над защитой данных, хранящихся в автомобиле, и усилением безопасности систем управления автомобиля от внешнего доступа. Руководители автопрома обычно признают, что индустрия отстает в решениях по кибербезопасности автомобилей.