Όταν οι ερευνητές ασφάλειας στο παρελθόν βρήκαν τρόπους να υποκλέψουν τα συνδεδεμένα με το διαδίκτυο συστήματα των οχημάτων, οι αποδείξεις τους έτειναν να σημαίνουν ευτυχώς, ότι η παραβίαση των αυτοκινήτων είναι δύσκολη. Τα κατορθώματα των χάκερς, όπως για παράδειγμα να ελέγξουν εξ αποστάσεως ένα Chevrolet Impala το 2010 ή ένα Jeep το 2015, χρειάστηκαν χρόνια δουλειάς για να επιτευχθούν και απαιτούσαν έξυπνα τεχνάσματα: Αντίστροφη μηχανική του ασαφούς κώδικα στις μονάδες τηλεματικής των αυτοκινήτων, ενσωμάτωση κακόβουλου λογισμικού σε αυτά τα συστήματα μέσω ηχητικών τόνων που αναπαράγονταν μέσω ραδιοφωνικών συνδέσεων ή ακόμα και τοποθέτηση ενός δίσκου με ένα αρχείο μουσικής με κακόβουλο λογισμικό στη μονάδα CD του αυτοκινήτου.

Όμως φέτος το καλοκαίρι, μια μικρή ομάδα χάκερς παρουσίασε μια τεχνική για την παραβίαση και τον εντοπισμό εκατομμυρίων οχημάτων που είναι σημαντικά ευκολότερη – τόσο εύκολη, όσο η εύρεση ενός απλού bug σε έναν ιστότοπο.

Την Πέμπτη (26/09), μια ομάδα ανεξάρτητων ερευνητών ασφάλειας αποκάλυψε ότι βρήκε ένα κενό ασφαλείας σε μια διαδικτυακή πύλη που διαχειρίζεται η αυτοκινητοβιομηχανία Kia, το οποίο επέτρεπε να μεταβιβαστεί ο έλεγχος των συνδεδεμένων στο διαδίκτυο λειτουργιών των περισσότερων σύγχρονων οχημάτων Kia – δεκάδες μοντέλα που αντιπροσωπεύουν εκατομμύρια αυτοκίνητα στους δρόμους – από το smartphone του ιδιοκτήτη του αυτοκινήτου, στο τηλέφωνο ή τον υπολογιστή των χάκερς. Εκμεταλλευόμενοι αυτά τα κενά ασφαλείας και δημιουργώντας τη δική τους προσαρμοσμένη εφαρμογή για την αποστολή εντολών στα αυτοκίνητα-στόχους, κατάφεραν να σαρώσουν σχεδόν την πινακίδα κυκλοφορίας οποιουδήποτε οχήματος Kia που είναι συνδεδεμένο στο διαδίκτυο και μέσα σε λίγα δευτερόλεπτα να αποκτήσουν τη δυνατότητα να εντοπίσουν τη θέση του αυτοκινήτου, να ξεκλειδώσουν το αυτοκίνητο, να κορνάρουν ή να βάλουν μπρος τη μίζα του κατά βούληση.

Αφού οι ερευνητές ειδοποίησαν την Kia για το πρόβλημα τον Ιούνιο, η Kia φαίνεται να έχει διορθώσει την αδυναμία στη διαδικτυακή της πύλη, αν και δήλωσε τότε στο WIRED ότι εξακολουθεί να ερευνά τα πορίσματα της ομάδας και έκτοτε δεν έχει απαντήσει στα μηνύματα ηλεκτρονικού ταχυδρομείου του WIRED. Αλλά η επιδιόρθωση της Kia απέχει πολύ από το τέλος των προβλημάτων ασφάλειας της αυτοκινητοβιομηχανίας που βασίζονται στο διαδίκτυο, λένε οι ερευνητές. Το διαδικτυακό σφάλμα που χρησιμοποίησαν για να παραβιάσουν τα Kia είναι, στην πραγματικότητα, το δεύτερο του είδους που έχουν αναφέρει στην εταιρεία της Hyundai- βρήκαν μια παρόμοια τεχνική για την πειρατεία των ψηφιακών συστημάτων των Kia πέρυσι. Και αυτά τα σφάλματα είναι μόνο δύο από ένα πλήθος παρόμοιων κενών ασφαλείας στο διαδίκτυο που έχουν ανακαλύψει τα τελευταία δύο χρόνια και έχουν επηρεάσει αυτοκίνητα που πωλούνται από τις εταιρείες Acura, Genesis, Honda, Hyundai, Infiniti, Toyota κι άλλες.

«Όσο περισσότερο το εξετάζαμε αυτό, τόσο περισσότερο γινόταν προφανές ότι η ασφάλεια του διαδικτύου για τα οχήματα είναι πολύ φτωχή», λέει ο Neiko “specters” Rivera, ένας από τους ερευνητές που βρήκε το τελευταίο τρωτό σημείο της Kia και συνεργάστηκε με μια μεγαλύτερη ομάδα που ήταν υπεύθυνη για την προηγούμενη συλλογή προβλημάτων ασφάλειας αυτοκινήτων τα οποία βασίζονται στο διαδίκτυο και αποκαλύφθηκαν τον Ιανουάριο του περασμένου έτους.

«Ξανά και ξανά, αυτά τα έκτακτα ζητήματα εμφανίζονται συνεχώς», λέει ο Sam Curry, ένα άλλο μέλος της ομάδας hacking αυτοκινήτων, ο οποίος εργάζεται ως μηχανικός ασφαλείας για την εταιρεία Web3 Yuga Labs, αλλά πραγματοποίησε αυτήν την έρευνα ανεξάρτητα. «Έχουν περάσει δύο χρόνια, έχει γίνει πολλή καλή δουλειά για τη διόρθωση αυτού του προβλήματος, αλλά εξακολουθεί να φαίνεται πραγματικά χαλασμένο».

Διάβασε μια πινακίδα κυκλοφορίας, χάκαρε ένα αυτοκίνητο

Πριν ειδοποιήσουν την αυτοκινητοβιομηχανία για το τελευταίο κενό ασφαλείας της, η ερευνητική ομάδα δοκίμασε τη διαδικτυακή τεχνική της σε μερικά Kia – ενοικιαζόμενα, αυτοκίνητα φίλων, ακόμα και αυτοκίνητα σε χώρους αντιπροσωπειών – διαπιστώνοντας ότι λειτούργησε σε κάθε περίπτωση.

Η διαδικτυακή τεχνική hacking δεν δίνει στον χάκερ πρόσβαση σε συστήματα οδήγησης, όπως το τιμόνι ή τα φρένα, ούτε ξεπερνά το λεγόμενο immobilizer που εμποδίζει την οδήγηση ενός αυτοκινήτου, ακόμα κι αν η μηχανή του έχει τεθεί σε λειτουργία. Θα μπορούσε, ωστόσο, να έχει συνδυαστεί με τεχνικές εξουδετέρωσης του immobilizer που είναι δημοφιλείς στους κλέφτες αυτοκινήτων ή να χρησιμοποιηθεί για την κλοπή αυτοκινήτων χαμηλότερης κατηγορίας που δεν διαθέτουν immobilizer –συμπεριλαμβανομένων ορισμένων Kia.

Ακόμα και στις περιπτώσεις που δεν επέτρεπε την απόλυτη κλοπή ενός αυτοκινήτου, το κενό ασφαλείας στο διαδίκτυο θα μπορούσε να δημιουργήσει σημαντικές ευκαιρίες για κλοπή του περιεχομένου ενός αυτοκινήτου, παρενόχληση οδηγών και επιβατών κι άλλες ανησυχίες για την προστασία της ιδιωτικής ζωής και την ασφάλεια.

«Αν κάποιος σου έκοβε τον δρόμο εν κινήσει, θα μπορούσες να σκανάρεις την πινακίδα κυκλοφορίας του και στη συνέχεια να ξέρεις πού βρίσκεται όποτε θέλεις και να διαρρήξεις το αυτοκίνητό του», λέει ο Curry. «Αν δεν το είχαμε γνωστοποιήσει αυτό στην Kia, οποιοσδήποτε που θα μπορούσε να αναζητήσει την πινακίδα κυκλοφορίας κάποιου, θα μπορούσε ουσιαστικά να τον παρακολουθεί». Για τα Kia που διαθέτουν εγκατεστημένη κάμερα 360 μοιρών, κι αυτή η κάμερα ήταν προσβάσιμη στους χάκερς. Πέρα από τη δυνατότητα πειρατείας των συνδεδεμένων λειτουργιών των ίδιων των αυτοκινήτων, λέει ο Curry, το ελάττωμα της διαδικτυακής πύλης επέτρεψε επίσης στους χάκερς να ζητήσουν ένα ευρύ φάσμα προσωπικών πληροφοριών για τους πελάτες της Kia – ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνου, διευθύνσεις κατοικίας, ακόμα και προηγούμενες διαδρομές οδήγησης σε ορισμένες περιπτώσεις – μια δυνητικά μαζική διαρροή δεδομένων.

Η τεχνική hacking που βρήκε η ομάδα λειτουργεί με την εκμετάλλευση ενός σχετικά απλού ελαττώματος στο backend της διαδικτυακής πύλης της Kia για τους πελάτες και τους αντιπροσώπους, η οποία χρησιμοποιείται για τη ρύθμιση και τη διαχείριση της πρόσβασης στις λειτουργίες των συνδεδεμένων αυτοκινήτων της. Όταν οι ερευνητές έστειλαν εντολές απευθείας στο API του εν λόγω ιστότοπου -το περιβάλλον που επιτρέπει στους χρήστες να αλληλεπιδρούν με τα υποκείμενα δεδομένα του-, λένε ότι δεν υπήρχε τίποτα που να τους εμποδίζει να έχουν πρόσβαση στα προνόμια ενός αντιπροσώπου της Kia, όπως η ανάθεση ή η εκ νέου ανάθεση του ελέγχου των χαρακτηριστικών των οχημάτων σε οποιονδήποτε λογαριασμό πελάτη που δημιούργησαν. «Είναι πραγματικά απλό. Δεν έλεγχαν αν ένας χρήστης είναι έμπορος», λέει ο Rivera. «Και αυτό είναι κάπως μεγάλο ζήτημα».

Η διαδικτυακή πύλη της Kia επέτρεπε την αναζήτηση αυτοκινήτων με βάση τον αριθμό ταυτοποίησης οχήματος (VIN). Όμως οι χάκερς διαπίστωσαν ότι μπορούσαν να βρουν γρήγορα τον αριθμό πλαισίου ενός αυτοκινήτου αφού έπαιρναν τον αριθμό πινακίδας κυκλοφορίας του χρησιμοποιώντας τον ιστότοπο PlateToVin.com.

Γενικότερα, προσθέτει ο Rivera, κάθε έμπορος που χρησιμοποιούσε το σύστημα φαινόταν να έχει εμπιστευτεί έναν συγκλονιστικό βαθμό ελέγχου σχετικά με το ποια χαρακτηριστικά των οχημάτων συνδέονταν με οποιονδήποτε συγκεκριμένο λογαριασμό. «Οι έμποροι έχουν πάρα πολύ μεγάλη δύναμη, ακόμα και σε οχήματα που δεν αγγίζουν τον χώρο τους», λέει ο Rivera.

Ιστοσελίδες αυτοκινητοβιομηχανιών κι εκατομμύρια αυτοκίνητα μπορούν να χακαριστούν.

Οι Curry και Rivera, οι οποίοι συνεργάστηκαν με άλλους δύο ερευνητές για να αναπτύξουν την τεχνική hacking, ανέφεραν τα ευρήματά τους στην Kia τον Ιούνιο, ενώ η εταιρεία απάντησε σε ερώτημα του WIRED, σημειώνοντας ότι διερευνούσε τα ευρήματά τους. «Λαμβάνουμε πολύ σοβαρά υπόψη αυτό το θέμα και εκτιμούμε τη συνεργασία μας με τους ερευνητές ασφαλείας», έγραψε ένας εκπρόσωπος.

Λίγο μετά την αναφορά του προβλήματος από τους ερευνητές, η Kia έκανε μια αλλαγή στο API της διαδικτυακής πύλης της, η οποία φαίνεται να μπλοκάρει την τεχνική τους, λένε οι ερευνητές. Στη συνέχεια, τον Αύγουστο, η Kia δήλωσε στους ερευνητές ότι είχε επικυρώσει τα ευρήματά τους, αλλά εξακολουθούσε να εργάζεται για την εφαρμογή μιας μόνιμης επιδιόρθωσης του προβλήματος. Από τότε η Kia δεν έχει ενημερώσει τους ερευνητές, ούτε έχει απαντήσει στις ερωτήσεις του WIRED. Αλλά μετά το τυπικό παράθυρο των 90 ημερών που δίνεται στις εταιρείες για να διορθώσουν τα ζητήματα ασφαλείας που αναφέρουν οι ερευνητές, οι χάκερς αποφάσισαν να δημοσιοποιήσουν τα ευρήματά τους – αν και δεν έχουν κυκλοφορήσει την εφαρμογή Kia-hacking proof-of-concept και δεν σκοπεύουν να το κάνουν.

Η ερευνητική ομάδα Kia-hacking άρχισε να συγκεντρώνεται για πρώτη φορά γύρω από την ιδέα της διερεύνησης των ιστότοπων και των APIs των αυτοκινητοβιομηχανιών για κενά ασφαλείας στα τέλη του 2022. Μερικοί από αυτούς έμεναν με έναν φίλο τους σε μια πανεπιστημιούπολη και έπαιζαν με την εφαρμογή μιας εταιρείας ποδηλάτων, όταν κατά λάθος ενεργοποίησαν όλα τα ποδήλατα της εταιρείας σε όλη την πανεπιστημιούπολη να κορνάρουν και να αναβοσβήνουν τα φώτα τους για 15 λεπτά. Σε εκείνο το σημείο, η ομάδα «άρχισε να ενδιαφέρεται πάρα πολύ να δοκιμάσει περισσότερους τρόπους για να κάνει περισσότερα πράγματα να κορνάρουν», όπως έγραψε ο Curry – συμπεριλαμβανομένων οχημάτων πιο σημαντικών από τα ποδήλατα. Αμέσως μετά, ο Curry ανακάλυψε ότι ο Rivera, ο οποίος είχε επικεντρωθεί εδώ και καιρό στο hacking αυτοκινήτων και είχε προηγουμένως εργαστεί στην αυτοκινητοβιομηχανία Rivian, εξέταζε ήδη τα τρωτά σημεία του διαδικτύου στην τηλεματική των οχημάτων.

Τον Ιανουάριο του 2023, δημοσίευσαν τα πρώτα αποτελέσματα της εργασίας τους, μια τεράστια συλλογή τρωτών σημείων στο διαδίκτυο που αφορούσαν τις εταιρείες Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls Royce και Ferrari – τα οποία είχαν αναφέρει στις αυτοκινητοβιομηχανίες. Για τουλάχιστον έξι από αυτές τις εταιρείες, τα διαδικτυακά σφάλματα που βρήκε η ομάδα προσέφεραν τουλάχιστον κάποιο επίπεδο ελέγχου των συνδεδεμένων λειτουργιών των αυτοκινήτων, έγραψαν, όπως ακριβώς και στο τελευταίο hack της Kia. Άλλα, λένε, επέτρεπαν μη εξουσιοδοτημένη πρόσβαση σε δεδομένα ή σε εσωτερικές εφαρμογές των εταιρειών. Άλλα πάλι στόχευαν το λογισμικό διαχείρισης στόλου οχημάτων έκτακτης ανάγκης και θα μπορούσαν ακόμα και να εμποδίσουν την εκκίνηση αυτών των οχημάτων, πιστεύουν – αν και δεν είχαν τα μέσα για να δοκιμάσουν με ασφάλεια αυτό το δυνητικά επικίνδυνο τέχνασμα.

Τον Ιούνιο του τρέχοντος έτους, σημειώνει ο Curry, ανακάλυψε ότι η Toyota φαινόταν να εξακολουθεί να έχει ένα παρόμοιο ελάττωμα στη διαδικτυακή της πύλη, το οποίο, σε συνδυασμό με ένα διαπιστευτήριο αντιπροσώπου που διέρρευσε και βρήκε στο διαδίκτυο, θα επέτρεπε τον απομακρυσμένο έλεγχο των λειτουργιών των οχημάτων Toyota και Lexus, όπως ο εντοπισμός, το ξεκλείδωμα, η κόρνα και η εκκίνηση.

Ανέφερε αυτό το κενό ασφαλείας στην Toyota και έδειξε στο WIRED ένα email επιβεβαίωσης που φαινόταν να αποδεικνύει ότι είχε καταφέρει να αναθέσει στον εαυτό του τον έλεγχο των συνδεδεμένων λειτουργιών ενός Toyota-στόχου μέσω του διαδικτύου.

«Ως αποτέλεσμα αυτής της έρευνας, η Toyota απενεργοποίησε αμέσως τα παραβιασμένα στοιχεία πρόσβασης και επιταχύνει τις βελτιώσεις ασφαλείας της πύλης, καθώς και την προσωρινή απενεργοποίηση της πύλης μέχρι να ολοκληρωθούν οι βελτιώσεις», έγραψε εκπρόσωπος της Toyota στο WIRED τον Ιούνιο.

Περισσότερα έξυπνα χαρακτηριστικά, περισσότερα ανόητα σφάλματα

Ο εξαιρετικός αριθμός κενών ασφαλείας στις ιστοσελίδες των αυτοκινητοβιομηχανιών που επιτρέπουν τον τηλεχειρισμό των οχημάτων, είναι άμεσο αποτέλεσμα της προσπάθειας των εταιρειών να προσελκύσουν τους καταναλωτές -ιδιαίτερα τους νέους- με λειτουργίες που διαθέτουν smartphone, λέει ο Stefan Savage, καθηγητής πληροφορικής στο UC San Diego, του οποίου η ερευνητική ομάδα ήταν η πρώτη που παραβίασε το τιμόνι και τα φρένα ενός αυτοκινήτου μέσω του διαδικτύου το 2010. «Από τη στιγμή που αυτές οι λειτουργίες χρήστη συνδέονται με το τηλέφωνο, αυτό το συνδεδεμένο στο cloud πράγμα, δημιουργείται όλη αυτή η επιφάνεια επίθεσης για την οποία δεν χρειαζόταν να ανησυχείς πριν», λέει ο Savage.

Παρόλα αυτά, λέει, ακόμα και ο ίδιος εκπλήσσεται με την ανασφάλεια όλου του διαδικτυακού κώδικα που διαχειρίζεται αυτές τις λειτουργίες. «Είναι λίγο απογοητευτικό το γεγονός ότι είναι τόσο εύκολο να το εκμεταλλευτεί κανείς», λέει.

Ο Rivera ανφέρει ότι έχει παρατηρήσει από πρώτο χέρι στο διάστημα που εργάζεται στην κυβερνοασφάλεια των αυτοκινήτων ότι οι αυτοκινητοβιομηχανίες συχνά δίνουν μεγαλύτερη έμφαση στις «ενσωματωμένες» συσκευές – ψηφιακά εξαρτήματα σε μη παραδοσιακά υπολογιστικά περιβάλλοντα όπως τα αυτοκίνητα – παρά στην ασφάλεια του διαδικτύου, εν μέρει επειδή η ενημέρωση αυτών των ενσωματωμένων συσκευών μπορεί να είναι πολύ πιο δύσκολη και να οδηγήσει σε ανακλήσεις. «Ήταν ξεκάθαρο από τότε που ξεκίνησα ότι υπήρχε ένα κραυγαλέο χάσμα μεταξύ της ασφάλειας ενσωματωμένων συσκευών και της ασφάλειας διαδικτύου στην αυτοκινητοβιομηχανία», σημειώνει ο Rivera. «Αυτά τα δύο πράγματα αναμειγνύονται πολύ συχνά, αλλά οι άνθρωποι έχουν εμπειρία μόνο στο ένα ή στο άλλο».

Ο Savage του UCSD ελπίζει ότι το έργο των ερευνητών της Kia-hacking μπορεί να βοηθήσει να αλλάξει αυτή η εστίαση. Πολλά από τα πρώιμα, υψηλού προφίλ πειράματα hacking που επηρέασαν τα ενσωματωμένα συστήματα των αυτοκινήτων, όπως η κατάληψη του Jeep το 2015 και το hack του Impala το 2010 που πραγματοποίησε η ομάδα του Savage στο UCSD, έπεισαν τις αυτοκινητοβιομηχανίες ότι έπρεπε να δώσουν καλύτερη προτεραιότητα στην ενσωματωμένη κυβερνοασφάλεια, λέει. Τώρα οι αυτοκινητοβιομηχανίες πρέπει να επικεντρωθούν και στην ασφάλεια του διαδικτύου – ακόμα και αν, λέει, αυτό σημαίνει ότι πρέπει να κάνουν θυσίες ή αλλαγές στη διαδικασία τους.

«Πώς αποφασίζεις: “Δεν θα στείλουμε το αυτοκίνητο για έξι μήνες επειδή δεν εξετάσαμε τον κώδικα του διαδικτύου”; Αυτό είναι δύσκολο να το πουλήσεις», λέει. «Θα ήθελα να πιστεύω ότι αυτού του είδους το γεγονός κάνει τους ανθρώπους να εξετάσουν αυτή την απόφαση πιο ολοκληρωμένα».

Με πληροφορίες από Wired