Autoforum

/

Foto: Archiv Autoforum.cz

(+ video) Online připojení systému Uconnect má bezpečnostní díru, jež pustila hackery k řízení i brzdám.

Palubní systém Uconnect, který do svých automobilů nabízí koncern Fiat Chrysler, patří dle různých zdrojů k nejlepším takovým systémům na trhu. Jeho nejvyšší verze jsou či mohou být také připojeny k internetu a umí fungovat i jako Wi-Fi hotspot pro pasažéry v autě. Jenže právě tohle připojení k internetu je činí náchylnými k hackerským útokům, které můžou klidně za jízdy na dálnici vypnout motor.

Demonstrovali to hackeři na správné straně barikády - řekněme, výzkumníci Chris Valasek a Charlie Miller, kteří už zhruba rok pracují s novým Jeepem Cherokee modelového roku 2014. Podařilo se jim najít způsob, jakým se dostanou do systému Uconnect a můžou ovládat některé palubní systémy auta, jak ukazuje i video níže. Umí ovládat rádio nebo třeba klimatizaci, což už samo o sobě může způsobit potíže. Jenže to není to hlavní.

Na dálku se podařilo také nainstalovat vlastní firmware, který umožňuje z řídící jednotky Uconnectu ovládat přes směrnici CAN-Bus prakticky všechno ostatní, všechny další řídící jednotky, které jsou na ni napojeny. A to jsou v autě úplně všechny včetně řídících jednotek motoru a převodovky, takže hackeři-výzkumníci umí na dálku - třeba přes půl světa - vypnout motor. I za jízdy, jak stojí výše.

Na vlastní kůži to vyzkoušel americký novinář Andy Greenberg, autor zmíněného videa, který se posadil do bílého Cherokee a vyjel na dálnici. Začalo to nevinně - změnou hlasitosti rádia, zobrazení fotky Valaska a Millera na displeji Uconnectu či zapnutím stěračů a ostřikovačů. Vážnější to bylo, když hackeři odstavili motor v místě bez odstavného pruhu a zezadu se blížil kamion. Greenbergovi nezbylo než zapnout výstražné blinkry, v duchu se omlouvat ostatním troubícím řidičům a doufat, že ho řidič kamionu vidí.

Nebyla to ale ještě ta nejhorší část, jak popsal Greenberg. Auto na dálnici znovu nastartovalo a odjelo, a to na prázdné parkoviště, kde experiment pokračoval. Zde se výzkumníci zmocnili řízení a brzd a právě to bylo podle Greenbergových slov nejstrašidelnější. Šlapal na brzdový pedál a auto vůbec nereagovalo, sjelo do příkopu.

Charlie Miller a Chris Valasek pracují na tomto projektu už zhruba rok. Trvalo jim tedy velmi dlouho, než se propracovali k takto širokým možnostem ovládání auta na dálku a stále je kam jít - např. řízení umí ovládat, jen když auto couvá. Patrně nebylo nejsložitější se dostat do Uconnectu; hledání způsobu, jak ovládat i další, fyzické funkce auta, prý zabralo měsíce.

Po celou tuto dobu výzkumníci spolupracují s FCA a koncern již vydal záplatu na tyto bezpečnostní nedostatky. Ta má ovšem nevýhodu - je nutné ji do auta nahrát fyzicky přes USB nebo přes diagnostický port v servisu, takže spousta postižených aut zůstane dost pravděpodobně stále neopravena. Problém se týká aut z konce modelového roku 2013, celého roku 2014 a počátku roku 2015. Není přesně jasné, které modely jsou zahrnuty, ale systémy Uconnect jsou všude stejné nebo aspoň hodně podobné. V každém případě je patch možno stáhnout zde a přes USB by mělo jít ho nahrát do auta svépomocí.

Valasek s Millerem budou své nálezy prezentovat na lasvegaské konferenci Black Hat příští měsíc a do té doby se svět nedozví, která komponenta je ta problémová. Pak ale bude zveřejněn téměř celý jejich výzkum. Téměř celý proto, že bude dostupná přístupová cesta do Uconnectu, nikoliv dál do systémů auta. Právě úprava firmwaru, která umožnila výzkumníkům ovládat motor, brzdy, řízení a další věci a na které strávili nejvíc času, zveřejněna z pochopitelných důvodů nebude.

Koncern FCA s tímhle samozřejmě nesouhlasí, říká, že by to mohlo ohrozit bezpečnost lidí. Jenže stále bude potřeba zkušeného programátora, aby uměl použít zveřejněný postup, takže si s vaším novým Hellcatem rozhodně nebude hrát každý druhý puberťák. A ke zveřejnění dojde v každém případě až týdny po vydání patche, takže v tu dobu už budou auta upravena - nebo v to aspoň doufejme. Znovu vyvinout postup, jak se dostat do ostatních systémů auta, by dalšímu týmu výzkumníků trvalo dalších několik měsíců.

Také informace o tom, že systémy aut jsou náchylné ke kyberútokům, nejsou žádnou novinkou a automobilky měly roky na to, své systémy pořádně zabezpečit. Jistě, všechen software po téhle stránce funguje tak, že někdo objeví či zneužije díru v zabezpečení a až pak se objeví oprava, jenže víme-li, že přes infotainment jde "díky" CAN-Busu ovládat auto od předních světel po koncovku výfuku, měli bychom se o zabezpečení starat tím spíš.

Není zároveň důvod se domnívat, že Valasek a Miller jsou jediní, kdo se zabývá probouráváním se do automobilů, jen o tom dávají vědět a pomáhají automobilkám zabezpečení vylepšit. Pokud ještě včera vypadala hrozba útoku hackerů na vaše nové, k internetu připojené auto jako vzdálený problém, dnes to vypadá mnohem reálněji.

Před lety se říkalo, že nejlepší ochrana proti hackerům a počítačovým virům je nepřipojovat počítač k internetu. To platí pořád, ale počítač či smartphone bez internetu je dnes již obtížně představitelná věc. Dost pravděpodobně to s palubními systémy automobilů bude podobné, ale v současnosti zatím buďme rádi, že lze auto k internetu nepřipojit.

V souvislosti s náchylností aut k takovýmto útokům přednesli senátoři Ed Markey a Richard Blumenthal z Massachussets, resp. Connecticutu návrh zákona, který, pokud projde, přinese automobilkám povinnost se možnými hackery útoků více zabývat a vyvíjet lepší bezpečnostní systémy. „Řidiči by neměli být nuceni si vybírat mezi tím být připojeni a být v bezpečí,” uvedl senátor Markey. Otázkou nicméně může být, zda zákon je skutečně tou nejefektivnější cestou, jak tuto situaci zlepšit; zda by nebylo lepší směřovat peníze daňových poplatníků na podporu výzkumů tohoto problému.

Zdroje: Wired, Autoblog

Marek Bednář