Biltillverkare accelererar säkerhetsarbetet efter hacking-stunts

Din nästa bil kanske kommer med ett bra säkerhetsbetyg eller tillförlitlighetspoäng, men hur hackbar kommer den att vara?





Säkerhetsforskare visade nyligen flera knep för att hacka sig in i bilar för att ta kontroll över komponenter som stereo och vindrutetorkare, och även motor och bromsar. I ett exempel , ett par experter fjärravaktiverade bromssystemet på en Jeep Cherokee när en journalist körde den på vägen.

Föga överraskande har biltillverkare börjat ta datorsäkerhet mycket mer seriöst, men de har blivit förblindade av hastigheten på tekniska förändringar inom branschen, och särskilt av hur tillägget av anslutning har öppnat bilar för attacker. Samtidigt lägger de snabbt till ny funktionalitet som kommer att kräva extra säkerhetsgranskning.

Elbilstillverkaren Tesla ligger före, med en bil som är både mycket datoriserad och uppkopplad och relativt väl skyddad mot hackare. Till skillnad från de flesta bilar på vägen har den senaste Model S ett internt datornätverk som separerar olika system, vilket gör det svårare för hackare att hoppa från ett system till ett annat. Experterna som gjorde intrång i Jeepen använde till exempel underhållningssystemet som ett sätt att komma åt andra fordonskomponenter. Andra biltillverkare utvecklar nu liknande system, säger Joshua Corman , en oberoende säkerhetsforskare som rådgör med bilföretag. Det finns verkligen ingen anledning att låta stereon tala till bromsarna, säger han.



Biltillverkare ser också över sitt tillvägagångssätt för att hantera säkerhetsbrister och buggar, vilket innebär att de kommer att bjuda in säkerhetsforskare att uppmärksamma dem på problem och arbeta med dem för att fixa dem (istället för att hota med att stämma dem, som har hänt tidigare). Tesla har erbjudit kontantbelöningar till dem som avslöjar sådana problem. Flera experter på området säger att andra bilföretag snart kan göra detsamma. Corman säger att två biltillverkare hade planerat att avslöja ett nytt tillvägagångssätt på Defcon, en stor datorsäkerhetskonferens i Las Vegas, men att de avskräcktes av den negativa pressen som lockades av Jeep-hacket.

Fler biltillverkare utarbetar också sätt att korrigera mjukvaran på sina bilar på distans, för att lösa problem snabbare. Hittills är det bara Tesla och BMW som är kapabla till detta, men Ford sa nyligen att de skulle introducera funktionaliteten i sina fordon, även om det inte angav när.

Många experter säger att biltillverkare måste göra mycket mer. Corman också förespråkare bland annat lägga till en svart låda i datornätverket inuti fordon så att hackingattacker kunde registreras och spåras i efterhand. En sådan enhet, eller något liknande, kan också användas för att upptäcka och stoppa en pågående attack.



Akademiker har hackat bilar i flera år (se Ta kontroll över bilar på avstånd ). Men introduktionen av mobilanslutning har gjort det lättare att kompromissa med ett fordon. Craig Smith , en säkerhetsforskare som testar säkerhet för många biltillverkare, säger att han har utfört prestationer som liknar Jeep-hacket i den egenskapen. När det gäller att hitta en exploit är det bara ett par nya saker man behöver lära sig, säger han.

De flesta biltillverkare låter smartphones ansluta till instrumentpanelen via Apples CarPlay och Googles Android Auto (se Starta om bilen ). Även om en bil saknar sin egen mobilanslutning kommer dessa system att tillåta en förare att se appar, kartor och meddelanden på konsolen och hitta information online.

Biltillverkare, såväl som Google och Apple, säger att dessa system inte utgör något hot, eftersom båda i huvudsak projicerar telefonens skärm på bilens display. De manipulerar inte data, säger Brad Stertz, talesman för Audi, som lägger till CarPlay och Android Auto till fordon.



Men säkerhetsexperter är inte så säkra. Charlie Miller, en av forskarna som hackade Jeep Cherokee, säger att han inte har undersökt CarPlay eller Android Auto men tror att de förmodligen är en vektor, vilket betyder att de kan ge ett sätt att komma åt resten av en bil.

Kevin Mahaffey, CTO för Lookout och en av forskarna bakom ett Tesla-hack nyligen, säger att detta är en möjlighet som måste övervägas. Eftersom bilar och telefoner kommunicerar mycket mer tror jag att det börjar blanda ihop säkerhetsfrågorna, säger han. Jag kan inte göra några tillkännagivanden om framtida forskning, men skärningspunkten mellan telefoner och säkerhetskritiska system händer mer och mer, så det är ett område vi ägnar mycket uppmärksamhet åt.

Det är verkligen fortfarande ganska utmanande att hacka en bil. Jeep-hacken involverade omvänd konstruktion och omprogrammering av ett datorchip i fordonets underhållningssystem. Ändå börjar den nödvändiga kompetensen spridas, eftersom mer exploateringskällkod publiceras och fler människor blir intresserade av fordonssäkerhet.



Corman säger att ett tiotal experter lärde människor hur man hackar bilhårdvara vid Defcon-evenemanget: Befolkningen av bilhacker växer snabbt.

Dölj