2016/08/03

Jeeps voltam a ser alvo de hackers - que agora conseguem controlar o volante


Um ano após se ter conhecido a vulnerabilidade que permitia controlar remotamente meio milhão de Jeeps, os mesmos investigadores voltam à carga com um novo ataque que agora lhes dá controlo sobre o volante do veículo.

O ataque do ano passado não permitia controlar o volante do veículo, mas permitia acelerar, travar e fazer muitas outras operações. Era um caso grave pois era um ataque que podia ser realizado remotamente através da rede de comunicações Uconnect da Jeep. Desta vez aquilo que podem fazer é ainda mais grave, pois agora podem tomar controlo da direcção do veículo; mas felizmente o risco real é mais reduzido (por agora) pois não pode ser feito remotamente, necessitando de uma ligação directa à porta OBD II.

A Jeep desdramatiza este ataque, dizendo que não há risco real, e que nas últimas versões do software dos veículos isto já nem seria possível, mas o ataque em si continua a ser interessante do ponto de vista técnico, pois foi necessário ultrapassar várias barreiras para os atacantes conseguirem tomar controlo do veículo. Por exemplo, para evitar competir com os sistemas legítimos de controlo, que enviariam informação correcta que entraria em conflito com os comandos falso enviados pelos atacantes, a solução destes hackers foi enviar um comando para colocar o sistema legítimo em modo de "boot", desactivando-o.

O passo que faltaria seria novamente encontrar uma vulnerabilidade no sistema de comunicação Uconnect, que a partir daí permitisse usar estas vulnerabilidades efectuadas fisicamente - para que este controlo passasse a poder ser efectuado remotamente. Algo que os hackers não têm dúvida de que se venha a encontrar no futuro, para este e para outros veículos. E mesmo que só seja possível com ligação física, não seria descabido imaginar alguém a colocar um pequeno módulo ODB II quase imperceptível num veículo, para depois o controlar remotamente... (E os camiões também não estão imunes.)

Curiosamente, ao se limitar este tipo de controlo via porta OBD II, está-se também a limitar a potencial utilização de kits de condução autónoma como o que George Hotz está a desenvolver, e que enviariam os comandos para controlo do carro precisamente através desta via. Esperemos que seja possível compatibilizar a necessidade de ter segurança suficiente para evitar uma utilização abusiva e maliciosa, mas mantendo a abertura necessária para a inovação e utilização legítima por parte de condutores e entusiastas.


Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]