Смартфон на колесах: що не так з "розумними" автомобілями?

Кондиционер включился на полную мощность, а радиоприемник самостоятельно переключился на местную хипхоп-станцию и заорал на всю мощь. Потом пришли в движение щетки стеклоочистителя, а жидкость из бачка омывателя залила лобовое стекло.

Водитель попробовал все доступные ручки управления, но машина его не слушалась. В довершение всего джип перестал реагировать на педаль газа, постепенно замедлив движение до скорости пешехода. Ему сигналили, обгоняя его, но он ничего не мог сделать, потому что никак не контролировал свой автомобиль. И вот такое может случиться практически с каждым.

В погоне за покупателем автопроизводители все больше превращают транспортные средства в смартфоны на колесах. Мультимедийные системы для водителя и пассажиров, навигация, голосовое управление и доступ в интернет, – все блага цивилизации должны работать даже на скоростной трассе. Однако помимо плюсов такой подход несет в себе множество опасностей, поскольку в погоне за функциональностью упускается из внимания такой аспект, как кибербезопасность. Ведь превращение в смартфон – это не только удобство управления, но и софт с ошибками, операционные системы и сетевые модули, подключенные к интернету. И чем более "смартфонизирован" автомобиль, тем больше в нем возможностей для взлома.

Как устроен "умный" автомобиль

Современный автомобиль, претендующий "интеллектуальность", содержит множество электронных блоков управления (ЭБУ), которые управляют технологическими узлами, собирают информацию с датчиков, кнопок и переключателей, обрабатывают ее и отправляют команды на соответствующие исполнительные механизмы. Количество ЭБУ в некоторых моделях превышает сотню, и как ни удивительно, речь не только о Tesla.

Для обмена данными между ЭБУ используются разнообразные протоколы: LIN, Ethernet, FlexRay, MOST, CAN/CAN FD. Главной задачей при разработке этих протоколов было обеспечение надежности, устойчивой работы даже в предельных режимах и при авариях. Но решая эту задачу, разработчики не предусмотрели возможность того, что кто-то будет перехватывать или модифицировать данные, которыми обмениваются ЭБУ, так что функций шифрования и аутентификации подключаемых устройств в этих протоколах просто нет.

Таким образом, подключившийся к диагностическому разъему OBD-II злоумышленник может управлять работой автомобиля даже в большей степени, чем его водитель.

Подобную атаку демонстрировали еще в 2013 году автохакеры Чарли Миллер и Крис Валасек. Они подключали свои ноутбуки к Ford Escape и Toyota Prius, а затем, сидя на заднем сиденье, отключали тормоза, сигналили, натягивали и ослабляли ремень безопасности и даже крутили руль.

Прошло всего два года, и производители добавили в автомобили беспроводной модуль для доступа в интернет. "Умные" автомобили стали еще и подключенными.

Телекоммуникационный ЭБУ Toyota Prius. Источник: Charlie Miller, Chris Valasek / Фото Illmatics.com

Каждый автоконцерн внедрял свои решения с фирменными названиями – Chrysler Uconnect, GM Onstar, Lexus Enform, Toyota Safety Connect, Hyundai Bluelink и Infiniti Connection, – но все они решали сходную задачу:

• обеспечить водителю и пассажирам доступ в интернет со всеми развлекательными функциями;
• дать производителю возможность дистанционно диагностировать автомобиль и управлять работой его систем.

Получив IP-адреса, умные автомобили превратились в идеальные мишени для хакеров, которые теперь могли подобрать себе цель для атаки также просто, как найти уязвимую камеру видеонаблюдения, причем – и это самое опасное, – машина может находиться в любой точке мира.

Способы проникновения в умный автомобиль

Основной вектор атак на умные автомобили – эксплуатация уязвимостей в прошивках их компьютерных модулей. Но даже для этого имеются различные варианты практической реализации:

• головные мультимедийные устройства,
• диагностические сканеры,
• чип-тюнинг,
• необновленная прошивка.

Атака через головное мультимедийное устройство

Чтобы не переплачивать за фирменные головные системы с расширенными функциями, автовладельцы часто устанавливают китайские мультимедийные комбайны под управлением устаревшей версии Android без каких-либо обновлений. Для реализации некоторых функций эти системы требуют подключения к шине CAN – например, чтобы автоматически адаптировать звук к скорости движения система должна получать эту информацию от соответствующего ЭБУ.

В результате проникнув в головное устройство через уязвимости Android, злоумышленник может двигаться дальше, перехватывать управление через атаку на CAN-шину или внедрять вредоносные функции в "мозг" подключенного авто.

Как ни печально, даже штатные головные устройства также некоторых моделей используют "дырявые" версии Android.

Атака через диагностический сканер

На панели приборов загорелась лампочка с ошибкой, нужно ехать на диагностику. Сотрудник сервисного центра подключает модуль беспроводного диагностического сканера к разъему автомобиля и смотрит, что вызвало ошибку. В это время в машине по соседству парень с ноутбуком подключается по Bluetooth к беспроводному сканеру, как правило, никак не защищенному от атак, и заливает в один из ЭБУ диагностируемого авто прошивку с "сюрпризом", которая может в нужный момент открыть хакеру удаленное управление или просто отключить тормоза.

Ограничением такой атаки является необходимость присутствовать рядом с автомобилем для установки "сюрприза".

Опасный чип-тюнинг

Разблокировать возможности, доступные только в старших моделях, сделать машину мощнее и/или быстрее, чем предусмотрено производителем, мечтают многие владельцы "умных" авто. В ответ на спрос в перечне услуг тюнинг-ателье появилась перепрошивка с разблокировкой. Выполняя эту операцию, специалисты заменяют прошивки ЭБУ на версии, в которых нужные владельцу параметры разблокированы.

Прошивка ЭБУ представляет собой целую операционную систему с загрузчиком. Для защиты от несанкционированной модификации они могут содержать цифровую подпись производителя. Однако умельцы отключают проверку подписи, чтобы залить нужную им прошивку. В результате ЭБУ принимает как родную любую прошивку, в том числе и вредоносную.

Сложности с обновлением

Несмотря на анонсированную многими автоконцернами возможность обновления прошивок "по воздуху" (Over-The-Air, OTA), для выполнения этой процедуры все-таки рекомендуют посетить авторизованный сервисный центр, поскольку

• установка обновлений для некоторых ЭБУ не может быть выполнена во время движения – например, обновление прошивки ЭБУ управления тормозной или рулевой системой во время езды – огромный риск;
• размер прошивок может составлять десятки гигабайт, поэтому обновление может потребовать нескольких часов, а то и суток;
• в результате обновления что-то может пойти не так, ЭБУ перестанет работать. Чтобы починить автомобиль, владельцу придется везти его в сервис-центр на эвакуаторе.

Таким образом, оперативность установки обновлений в прошивках умных автомобилей, оставляет желать лучшего, что позволяет автохакерам проводить атаки на выбранные цели, не опасаясь, что они перестанут быть доступными после выпуска исправлений. Просто потому, что большинство автомобилей не обновляется годами.

Путь к безопасности

Чтобы сделать подключенные автомобили безопаснее, автопроизводителям необходимо добавить в их системы модули, обеспечивающие защиту. При этом даже не потребуется изобретать что-то новое, достаточно использовать проверенные решения из компьютерной отрасли – межсетевые экраны и системы IPS/IDS.

Снизить вероятность успешной атаки или смягчить ее воздействие может многоуровневый подход, включающий:

• глобальную разведку угроз;
• внедрение безопасности как обязательной части всех процессов от создания концепции и разработки новых моделей подключенных автомобилей и инфраструктурных сервисов до производства и эксплуатации;
• задание равного или более высокого приоритета кибербезопасности в сравнении с функциональностью.

Помимо этого, чрезвычайно важно придерживаться комплексного подхода к безопасности подключенных автомобилей, избегая внедрения разрозненных решений, чтобы обеспечить лучшую управляемость, а также возможность оперативной оценки ситуации и выработки взвешенных контрмер.

Решить накопившиеся проблемы призван стандарт ISO/SAE 21434 – свод руководящих принципов обеспечения безопасности подключенных автомобилей. Специалисты Trend Micro проанализировали положения документа и выпустили отчет, содержащий рекомендации в отношении нового стандарта.