Dvaja bezpečnostní experti, Chris Valasek a Charlie Miller, sa zaoberali Jeepom Cherokee z roku 2014. Najprv sa dokázali k autu pripojiť a ovládnuť ho cez WiFi, vtedy však museli byť asi meter od vozidla. Využili na chybu softvéru, pomocou ktorej získali kontrolu nad autom. V práci pokračovali a podaril sa im iný husársky kúsok. S autom s infotainmentom UConnect sa spojili pomocou mobilného pripojenia Sprint. Valasek sedel vo svojej obývačke v Pittsburghu a cez internet ovládal Millerov Jeep, stačilo mu vedieť IP adresu auta. „Nepridali sme nič, ničoho sme sa nedotkli,“ hovorí Valasek. Neovládal však iba rádio, dokázal odpojiť brzdy, hrať sa s prevodovkou a riadiť auto!
Chris Valasek využil chybu v infotainmente UConnect a ovládol Jeep Cherokee Charlieho Millera. Mal dokonca prístup k brzdám, prevodovke a riadeniu auta!
Koncern o chýbach informovali
Valasek s Millerom informovali koncert FCA o bezpečnostných chybách a svoju prácu zverejnili. Automobilka sa na problém pozrela a chcela ho riešiť aktualizáciou softvéru, keď autá najbližšie prídu do servisu. Zasiahla americká vláda a FCA prikázala, aby autá zvolali do servisov a softvér hneď aktualizovali. Chrysler priznal, že problém sa netýka len Jeepu Cherokee a do servisu musia aj 2013-14 Dodge Viper, 2014 Dodge Durango, 2014 Jeep Grand Cherokee a pickupy 2013-14 Dodge Ram 1500, 2500 i 3500.
Valasek ovládal Millerov Jeep Cherokee cez internet.
Tým sa kauza neskončila, do útoku zatrúbilo americké združenie výrobcov automobilov Auto Alliance. Tí prirovnali Valaska s Millerom k pirátom a hovoria, že zverejnením práce dali hackerom informácie na striebornom podnose. Automobilky ale väčšinou výsledky nezverejnených výskumov ignorovali z dôvodu, že sa k nim zločinci nedostanú. Valasek hovorí: „Keby sme náš výskum neukázali všetkým, ľudia by neverili tomu, čo sme našli. Takže najlepší spôsob je sadnúť si do auta a ukázať všetkým, ako to funguje. Snáď teraz budú autá bezpečnejšie.“
Automobilky sa odvolávajú na autorské práva, tým chcú tretím stranám znemožniť odhaľovanie softvérových chýb. Neuvedomujú si, že ak hackeri chcú škodiť, na autorské práva nepozerajú.
Prípadom sa zaoberá aj americký Úrad autorských práv, ktorý by mal vydať rozhodnutie v priebehu septembra alebo októbra. Na jeho výsledku závisí, či nezávislí odborníci ako Valasek a Miller budú môcť ďalej hľadať chyby v softvéri automobilov. Ak automobilky na úrade neuspejú, sú pripravené ísť do Kongresu.
Musí byť infotainment spojený s kritickými oblasťami ako brzdy, či prevodovka?
Neuvedomujú si však jednu vec, kým bezpečnostní experti svoje výsledky poskytnú výrobcom, publikujú a ak Úrad autorských práv rozhodne, že nemôžu pokračovať vo výskume, tak sa stiahnu, hackeri takí milí nebudú. Kašlú na autorské práva, ak dokážu zneužiť chyby, tak to urobia, mohli by dokonca ohroziť životy ľudí!
Vynára sa aj iná otázka. Musí mať infotainment prístup ku kritickým oblastiam ako brzdy, riadenie, prevodovka, či motor? Ja myslím, že nie, mali by to byť dve oddelené veci. Zatiaľ čo k infotainmentu by ste sa mohli pripojiť cez mobil alebo iné zariadenie, takýto prístup ku kritickým oblastiam by nebol možný, potrebovali by ste tam fyzický prístup. Je to také ťažké spraviť? Možno by to stálo viac peňazí, no automobilky by neriskovali stratu kontroly nad autom v prípade hackerského útoku. Čo si myslíte vy? Vyjadrite svoj názor v diskusii.
Zdroj: autoblog.com, autoforum.cz