Zubie er en lille boks, der plugger ind i porten Diagnostics (ODBII), der findes i de fleste moderne biler. Det giver brugerne mulighed for at finde ud af, hvor godt de kører, og giver tips til at udvide deres kilometertal med fornuftig og økonomisk kørsel. Og indtil for nylig indeholdt Zubie et alvorligt forfald i sikkerhed, der kunne forlade brugerne sårbare over for at få deres bil fjernet kapret.
Hulet - opdaget af alumner i Unit 8200, Israels Forsvarsstyrkes elite-cybersikkerhedsteam - kunne potentielt se angribere på afstand forstyrre bremsning, styring og motor.
Zubie forbinder til en fjernserver via en GPRS-forbindelse, som bruges til at sende indsamlede data til en central server samt for at modtage sikkerhedsopdateringer.
Forskerne opdagede, at enheden var ved at begå en af de kardinale synder af netværkssikkerhed og ikke kommunikerer til hjemmeserveren via en krypteret forbindelse. Som følge heraf kunne de spoof Zubies centrale server og sende nogle specielt udformede malware til enheden.
Yderligere detaljer om angrebet er under, og du vil være glad for at lære, at problemet siden er blevet rettet. Det rejser imidlertid et interessant spørgsmål. Hvor sikre er vores biler?
Separation Fakta fra fiktion
For mange er kørsel ikke en luksus. Det er en nødvendighed
Og det er en farlig nødvendighed i det. De fleste mennesker er alt for bekendt med de risici, der er forbundet med at komme bagved hjulet. Bilulykker er en af verdens største dræbte, med 1, 24 millioner liv tabt på vejen i 2010 alene.
Men dødsfaldene i trafikken er faldende, og det skyldes i høj grad den øgede indtrængning af sofistikerede trafiksikkerhedsteknologier. Der er alt for mange af disse til en omfattende liste, men måske er det mest fremherskende eksempel OnStar, der findes i USA, Canada og Kina.
Teknologien - som udelukkende er tilgængelig i GM-biler, samt andre køretøjer fra virksomheder, der har valgt at licensere teknologien - overvåger din bils sundhed. Det kan give vejledninger, og kan automatisk yde assistance, hvis du finder dig selv end ulykke.
Næsten seks millioner mennesker abonnerer på Onstar. Utallige flere bruger et telematiksystem, som giver forsikringsselskaber mulighed for at spore, hvor godt biler er drevet og skræddersy forsikringspakker til at belønne fornuftige drivere. Justin Dennis har for nylig gennemgået noget lignende kaldet Metronome med Metromile Spor din kilometertal, brændstofomkostninger og mere med en gratis OBD2-enhed. Spor din kilometertal, brændstofomkostninger og mere med en gratis OBD2-enhed I dag synes alt at være smart - undtagen vores biler. Denne gratis ODB2 enhed og app ændrer det. Læs mere, som er frit tilgængelig for beboere i Washington, Oregon, Californien og Illinois. I mellemtiden kan mange biler efter 1998 blive forhørt og overvåget via ODBII-diagnostikporten takket være Android Sådan overvåger din bils ydeevne med Android Sådan overvåger din bils ydeevne med Android Monitoring tonsvis af oplysninger om din bil er utrolig nemt og billigt med din Android enhed - læs mere om det her! Læs mere og iOS smartphone apps.
Da disse teknologier har nået ubiquity, så har en bevidsthed om, at disse kan blive hacket. Intet andet er det mere tydeligt end i vores kulturelle psyke.
2008-thrilleren Untraceable fremhævede fremhævet en OnStar-udstyret bil, der blev "muret" af filmens antagonist for at lokke nogen i en fælde. I 2009 lancerede den nederlandske IT-firma InfoSupport en serie reklamer, der viste en fiktiv hacker kaldet Max Cornellise fjernhacket i bilsystemer, herunder en Porsche 911, der kun bruger sin bærbare computer.
Så med så meget usikkerhed omkring spørgsmålet er det vigtigt at vide, hvad der kan gøres, og hvilke trusler forbliver inden for science fiction.
En kort historie om bilhacking?
Uden for Hollywood har sikkerhedsforskere udført nogle temmelig skræmmende ting med biler.
I 2013 demonstrerede Charlie Miller og Chris Valasek et angreb, hvor de kompromitterede en Ford Escape og Toyota Prius og formåede at tage kontrol over bremse- og styringsanlæggene. Men dette angreb havde en stor ulempe, da det var betinget af, at en bærbar computer blev tilsluttet køretøjet. Dette efterlod sikkerhedsforskere nysgerrige, og spekulerede på, om det var muligt at opnå det samme, men uden at være fysisk bundet til bilen.
Dette spørgsmål blev endeligt besvaret et år senere, da Miller og Valasek gennemførte en endnu mere detaljeret undersøgelse af sikkerheden af 24 forskellige modeller af biler. Denne gang fokuserede de på kapaciteten for en angriber til at foretage et fjernt angreb. Deres omfattende forskning producerede en 93-siders rapport, som blev offentliggjort på Scribd for at falde sammen med deres opfølgningsspørgsmål på Blackhat-sikkerhedskonferencen i Las Vegas.
Det foreslog, at vores biler ikke er så sikre som en gang troede, hvor mange manglede de mest rudimentære sikkerhedsbeskyttelser. Den fordømmende rapport fremhævede Cadillac Escalade, Jeep Cherokee og Infiniti Q50 som mest sårbare over for et fjernt angreb.
Når vi kigger på Infinity Q10 specifikt, ser vi nogle store bortfald i sikkerhed.
Hvad gør Infiniti så overbevisende som en bil er også, hvad der gør det så sårbart. Som mange high-end biler produceret i de seneste år, kommer det med en swathe af teknologiske funktioner designet til at gøre køreoplevelsen mere fornøjelig. Disse spænder fra nøgleløs oplåsning til trådløs overvågning af dæktrykket til en "personlig assistent" smartphone-app, der interfacer med bilen.
Ifølge Miller og Vlasek er nogle af disse teknologiske egenskaber ikke isolerede, men er direkte forbundet med de systemer, der er ansvarlige for motorstyring og bremsning. Dette giver mulighed for, at en angriber får adgang til bilens interne netværk og derefter udnytter en sårbarhed, der er placeret i et af de væsentlige systemer for at kunne kollidere eller forstyrre køretøjet.
Ting som nøgleløs oplåsning og 'personlige assistenter' betragtes hurtigt som afgørende for chauffører, men som Charlie Miller så markant påpegede, "det er lidt skræmmende, at de alle kan tale med hinanden."
Men vi er stadig meget i den teoretiske verden. Miller og Vlasek har demonstreret en potentiel vej for et angreb, men ikke et egentligt angreb. Er der nogen eksempler på, at nogen faktisk har formået at blande sig i bilens computersystemer?
Nå er der ingen mangel på angreb, der retter sig mod nøglefri låsefunktioner. Man blev endog demonstreret tidligere i år på Blackhat Security Conference i Las Vegas af den australske sikkerhedsforsker Silvio Cesare.
Brugte kun $ 1000 værd af off-the-shelf værktøjer, han var i stand til at spoof signalet fra en key-fob, så han fjernet låse en bil. Angrebet afhænger af, at en person er fysisk til stede i nærheden af bilen, potentielt i et par timer, da en computer og en radioantennetransmissionsforsøg forsøger at brute modtageren indbygget i en bils nøglefri oplåsningssystem.
Når bilen er blevet åbnet, kan angriberen potentielt forsøge at stjæle den eller hjælpe sig med ubemandede genstande, som føreren efterlader. Der er meget potentiale for skade her.
Er der nogen forsvar?
Det kommer an på.
Der er allerede en form for beskyttelse mod sårbarheden for fjernadgang, som blev opdaget af Charlie Miller og Chris Valasek. I månederne efter deres Blackhat-snak har de været i stand til at konstruere en enhed som et indbrudsdetekteringssystem (IDS). Dette stopper ikke et angreb, men viser snarere til føreren, når et angreb kan være i gang. Dette koster omkring $ 150 i dele, og kræver en smule elektronik know-how at bygge.
Zubies sårbarhed er lidt vanskeligere. Selv om hullet siden er blevet patched, ligger svagheden ikke inden for bilen, men snarere inden for den tredjeparts enhed, der var knyttet til den. Mens biler har deres egne arkitektoniske usikkerheder, ser det ud til, at tilføjelsen af ekstra ekstraudstyr kun øger de potentielle veje til et angreb.
Måske er den eneste måde at være virkelig sikker på at køre en gammel bil. En, der mangler de meget sofistikerede klokker og fløjter af moderne high-end biler, og til at modstå trangen til at skubbe ting ind i din ODBII-port. Der er sikkerhed i enkelhed.
Er det sikkert at køre min bil?
Sikkerhed er en evolutionær proces.
Da folk får en større forståelse for truslerne omkring et system, udvikler systemet sig for at beskytte dem mod dem. Men bilverdenen har ikke helt haft sin ShellShock værre end Heartbleed? Mød ShellShock: En ny sikkerhedsrisiko for OS X og Linux værre end Heartbleed? Mød ShellShock: En ny sikkerhedsrisiko for OS X og Linux Læs mere eller HeartBleed Heartbleed - Hvad kan du gøre for at være sikker? Heartbleed - Hvad kan du gøre for at være sikker? Læs mere . Jeg forestiller mig, at når det har oplevet sin første kritiske trussel - det er første nul dag, hvis du vil - bilfabrikanter vil reagere hensigtsmæssigt og tage skridt til at gøre køretøjssikkerheden lidt strengere.
Men hvad synes du? Er det lidt optimistisk? Er du bekymret for hackere, der overtager din bil? Jeg vil gerne høre om det. Send mig en kommentar nedenfor.
Foto Credits: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com