GM popravci, ispravci OnStar RemoteLink hack

GM-ov OnStar slijedi Chryslerov UConnect kao dokazana hakabilna telematička usluga. U GM-ovom slučaju, hakiranje je uključivalo stvaranje lažne aplikacije za pametni telefon OnStar RemoteLink i izdavanje naredbi automobilu poput daljinskog otključavanja vrata. Nijedan nije uključivao hakiranje funkcija upravljanja ili kočenja automobila koji je bio u toku. General Motors brzo je izdao popravak za svoje OnStar poslužitelje, proglasio problem riješenim, a zatim je saznao da su iOS uređaji i dalje ranjivi.

GM je zakrpio aplikaciju OnStar krajem prošlog tjedna i rekao da će korisnici morati preuzeti novu verziju putem Apple App Storea. Aplikacija RemoteLink omogućuje korisniku daljinsko zaključavanje i otključavanje automobila, paljenje motora, puhanje u trubu i pokazivanje njegovog mjesta.



Objavljena ranjivost, ispravljena u danima

Logotip gumba OnStarIstraživač sigurnosti Sammy Kamkar prošli je tjedan pokazao kako je stvorio uređaj vrijedan 100 dolara koji se izdao kao sigurna WiFi točka. Ako vlasnik pokrene svoju aplikaciju RemoteLink unutar dometa Kamkarovog okvira - nazvanog 'OwnStar' i koji sadrži računalo Raspberry Pi i tri mala radija - telefon se može povezati s OwnStarom i raširiti vjerodajnice korisnika. Prema Žično, koji je radio s Kamkarom, RemoteLink koristi SSL šifriranje (dobro), ali nije potvrdio da razgovara s izvornim OnStar poslužiteljem (loše).



Kamkar je rekao da je razgovarao s GM-om prošle srijede (29. srpnja) i u roku od jednog dana Wired je objavio priču, GM je izdao početnu zakrpu, Kamkar je rekao da je dobar momak koji pokušava ukazati na ranjivosti povezanih automobila / interneta, a GM je izdao ' ozbiljno shvaćamo sigurnost naših kupaca ”. Također je rečeno da je problem riješen krpanjem poslužitelja. Kamkar je rekao da je GM popravio problem Android telefona zakrpom za poslužiteljski softver, ali ne i iOS, GM se složio i ažurirao aplikaciju RemoteLink za Apple uređaje. GM je zaustavio pristup iOS RemoteLink, zahtijevajući od korisnika da preuzmu novu verziju kako bi je nastavili koristiti.

ONSTAR_UTILITY_GRID



Što biste mogli izgubiti od hakiranja RemoteLink-a

RemoteLink je uglavnom praktična aplikacija za vozače koji se ne mogu sjetiti jesu li zaključali automobil kad su ušli u tržni centar. Već postoji nekoliko zaštitnih mjera. Usluge RemoteLink uključuju nekoliko na vlasnikovom privjesku, ali sada to radi s bilo kojeg mjesta, ne samo na 50-100 metara. Pristup RemoteLink uključuje:

  • Daljinsko zaključavanje, daljinsko otključavanje. Posebno korisno ako ste zaključali ključeve u automobilu i korisno ako je vaš automobil u Štafetne vožnje peer-to-peer program dijeljenja automobila. Vlasnik zaključava ključeve u automobilu, a iznajmljivač pomoću zasebne aplikacije Relay Rides (pita se je li Kamkar to provjerio?) Locira i otključava automobil.
  • Daljinski start, otkaži početak. Automobil se daljinski pokreće i zagrijava ili hladi na unaprijed postavljene kontrole temperature. Automobil se ne može odvesti bez prisutnog privjeska. Niti limenka ne može raditi u praznom hodu više od 10 minuta kako bi se izbjeglo trošenje energije.
  • Pronađite auto. Pogledajte automobil na karti, zumirajte da biste vidjeli točno njegovo mjesto.
  • Honk rog, bljeskalice.
  • EV, hibridno punjenje. Pogledajte status punjenja, postavite vrijeme početka punjenja ili postavite vrijeme kada punjenje mora biti završeno. Također prethodno zagrijte ili ohladite automobil koristeći električnu energiju za kućanstvo, a ne baterije ili motor.
  • Podaci o korisničkom računu OnStar, uključujući vrstu i ime automobila, podatke o vlasniku i djelomične podatke o kreditnoj kartici (posljednje četiri znamenke, datum isteka).

Što biste mogli izgubiti od hakiranja RemoteLink-a

Na temelju nedostataka RemoteLink-a, najgore što bi se moglo dogoditi bilo bi da lopov isprazni vaš automobil iz dragocjenosti. Iako je netko dovoljno pametan za daljinsko otključavanje vašeg automobila vjerojatno u stanju tražiti veće ciljeve od torbe za prijenosno računalo i starih torbi McDonald'sa na podu stražnjeg sjedala.

Kamkar će detaljno predstaviti OwnStar hack ovog tjedna u DefCon konferencija u Las Vegasu. Nadamo se da će njegovi podvizi navesti auto-industriju na razmišljanje o tome što treba učiniti. Vlasnicima se sviđa praktičnost daljinskog upravljanja sigurnosnim aspektima automobila, na primjer, dvostruka provjera jeste li zaključali automobil kada ste se prijavili u hotel i ostavili automobil na parkiralištu izvan dometa gumba za zaključavanje privjeska. Vlasnici električnih vozila žele znati jesu li im volt ili prius potpuno napunjeni, kao i jesu li stvarno uključili automobil kad su uletjeli u kuću.



Daljnje aplikacije sofisticiranijih vlasnika mogu pronaći parkirna mjesta i dogovoriti cijene. Mogu vam reći datum isteka najma. Proizvođači automobila mogu poslati obavijest o opozivima i razbiti kupone za popust.

Ono što je jasno iz hakiranja Chryslera (što je dovelo do 1,4 milijuna opoziva), a sada je i GM RemoteLink provalilo da proizvođači automobila moraju ozbiljnije razmisliti o sigurnosti daljinskog povezivanja. Zvuči kao da GM-ov sigurnosni problem nije razmišljao o nekim očitim načinima na koje bi automobil mogao biti iskorišten. Isti ljudi koji nikada svjesno ne bi povezali svoj tablet u kafiću u centru s pristupnom točkom zvanom Free_WiFi, nisu razmišljali o tome kada su u pitanju automobili za koje su odgovorni za izgradnju.

Ovo je bilo relativno lako popraviti, barem na Androidu, a manja gnjavaža na Appleovoj strani. Također sugerira da proizvođači automobila trebaju evoluirati do bežičnog softvera i sigurnosnih ažuriranja - kada se osjećaju ugodno, OTA veza je sigurna. Kada je Ford imao problema s Ford Sync, Mogućnosti sinkronizacije zakrpe bili a) poslali vlasniku USB ključ s ispravkom ili b) kupac proveo ugodnih 90 minuta u prodavaonici. Za usporedbu, Tesla svoja ažuriranja šalje bežično. Tesli pomaže razmišljanje svojih tehnološki pametnih kupaca koji očekuju OTA ažuriranja. Ostali vlasnici drugih marki još se uvijek mogu bojati tehnologije. Chrysler, GM i tko je sljedeći hakeri ih neće razuvjeriti.

Copyright © Sva Prava Pridržana | 2007es.com