چگونه خودرو جیپ هکشده در سال گذشته دوباره هک شد؟!
روابط عمومی شرکت (ایدکو) توزیعکننده محصولات کسپرسکی در ایران؛ هککنندگان ماشین جیپ Charlie Miller و Chris Valasek، که در سال گذشته بخاطر ربودن از راه دور ماشین جیپ، نام مستعار بدست آوردند و مشهور شدند، پس از آن ماجرا، حالا این دو نفر توانستند آسیبپذیری خطرناکتری را بیابند. Miller و Valasek یافتههای خود را در Black Hat USA 2016 به اشتراک گذاشتند و امروز ما در حال گسترش و اطلاع رسانی بیشتر آن هستیم.
در طی سال گذشته، محققان متخصص قادر به انجام برخی از اقدامات خطرناک (مثل راندن چرخها، ترمز، شتاب) شدند که البته در سرعت پایین تا ۵ مایل در ساعت این اقدامات صورت گرفت. این هک از طریق آسیبپذیریها در امکانات ماشینهای هوشمند مثل ماشینهای تمام اتوماتیک و ماشینهای جیپ انجام شد.
این عملیات به طور معمول بر سرعت پایین یا در زمانیکه موتور ماشین خاموش باشد، صورت میگیرد. اگر شما سعی کنید آنها را در سرعت بالا به کار بیندازید، سیستم دچار یه کشمکش میشود و ویژگیهای هوشمند فعال نخواهند شد، مگر اینکه شما این محدودیت را دور بزنید.
کامپیوتر آنبرد ، کیلومتر شما را دریافت و سرعت سنج را از روی پیغامهایی که از طریق گذرگاه CAN ارسال میشود را میخواند که همانند شبکههای لوکال یک وسیله نقلیه است. اگر شما میخواهید محدودیتهای امنیتی را دور بزنید، شما باید پیامهای جعلی بدهید تا ماشین باورش شود که ایستاده است در حالی که عملا اینطور نیست و ماشین با سرعت بالا در بزرگراه در حال حرکت است.
Miller و Valasek این کار را انجام دادند، آنها یک از واحدهای الکتریکی آنبرد را با کمک پچهای مخرب آلوده ساختند. در نتیجه، آنها توانستند از طریق گذرگاه CAN پیام جعلی را ارسال کنند. روش انجامشده بسیار ساده بود. پیامهای جعلی معمولا شمارهگذاری شدهاند. هنگامنکه واحدهای الکتریکی دو پیام با اعدادی مثل هم دریافت کنند، اولین پیام را میپذیرد و دومی را رد میکند.
بنابراین اگر هکرها، اعدادی صحیح را برای پیامهای جعلی خود اختصاص دهند و آنها را قبل از اینکه سیستم پیامهای واقعی را بفرستد، ارسال کنند، سیستم اطلاعات جعلی را باور منکند و اطلاعات واقعی را رد و باطل منکند.
هنگامیکه محققان این مشکل را حل کردند، آنها متوجه شدند که شیشه بالابر ماشین هم میتواند خطرناک محسوب شود و ترفندهای بیسابقهای نسبت به سال گذشته در حال رشد است. به عنوان مثال، آنها می توانند کنترل فرمان ماشین را به دست گیرند و فرمان چرخش چرخها را بدهند یا اینکه ترمز دستی را بکشند.
مهم نیست که راننده تا چه اندازه تلاش منکند تا ماشین را متوقف کند، کنترل ماشین و تلاش برای آن در طول حملات کاملا بیفایده است. آنها همچنین متوجه شدند که هکرهای میتوانند سیستم کنترل کروز اتومبیل را تغییر دهند که باعث سرعت بخشیدن به ماشین میشود.
فکر نکنید که هکرها میتوانند کنترل کامل اتومبیل شما را به دست بگیرند. مثلا آنها نمیتوانند ماشین را به هرجا که میخواهند هدایت کنند. و در طول یک حمله، راننده میتواند پدال ترمز را جهت متوقف کردن اتومبیل فشار دهد یا سعی کند بر فرمان غلبه کند(البته اگر آنها قوی و به اندازه کافی توجه داشته باشند). محققان تاکید کردند که رانندهها نیاز دارند که به اندازه کافی بر روی حرکت اتومبیل و جاده تمرکز کنند تا از وجود هرگونه اشتباه و حمله خطرناکی زود مطلع شوند.
ما باید همیشه منتظر چنین حملات غیر منتظرهای باشیم، آنها می توانند خیلی خطرناکتر باشند. هکرها میتوانند یک آن ضبط را با صدای بلند روشن کنند یا اینکه فن اتومبیل را به کار بیندازند و این کار باعث حواسپرتی رانندگان میشود و در نتیجه هکرها به نتیجه مطلوبشان میرسند و این برای آنها موفقیتی بزرگ محسوب میشود.
به عنوان مثال، Miller و Valasek شیشه ماشین را به بالا دادند. در هنگامیکه راننده بر روی" باگ" تمرکز کرده است، هکرها میتوانند به صورت ناگهانی چرخها را بچرخانند، به ماشین سرعت بخشند یا ترمز دستی را بکشند.
یک خبر خوب هم در این رابطه برای شما داریم. در ابتدا، Fiat Chrysler که توسعهدهنده اتومبیل هک شده است: در پایان گزارش Black Hat USA 2016 محققان تخصصی گفتند که آنها جلوی هرگونه آسیبپذیری را در این نوع ماشین گرفته و این باگها را برطرف خواهد کرد.
به گزارش ایتنا،و اما برای صاحبان خودروهای فیات کرایسلر: این کمپانی یافتههای محققان متخصص را نادیده نمیگیرد. توسط این پچ بسیاری از آسیبپذیری و باگهای آن توسط ، Miller و Valasek کشف شد. به عنوان مثال، شبکه سلولی با حداکثر سرعت، که اتومبیل با استفاده از آن به اینترنت متصل میشود، در حال حاضر ترافیک TCP مسدود شده است. این بدان معنا است که در سال گذشته هک از راه دور کار نمیکرد.
در آخر، فیات کرایسلر یک برنامه باگ را راه اندازی کرده است که به افرادی که نقوص را پیدا کنند و آنها را اطلاع دهد غرامت داده میشود. تسلا و جنرال موتور هم چنین برنامههای مشابهی را تا به حال داشتهاند. هر چند برنامه فیات کرایسلر بهترین برنامه در نوع خودش نیست و این اقدام در مقابل امنیت سایبری کاری کوچک است اما با این وجود این گامی در مسیر درست است.
