Производители смарт-каров столкнулись со смертельно опасной уязвимостью, которую невозможно быстро устранить, используя традиционные обновления защитного программного обеспечения.

Есть предположение, что эта уязвимость есть у всех смарт-каров, и что она дает злоумышленнику возможность отключения функций безопасности, таких как активация подушек безопасности, АБС и гидроусиление руля или любого другого компьютерного компонента, подключенного к CAN-шине автомобиля.

Уязвимость была обнаружена, и доказала свою серьезность в ходе совместной научно-исследовательской работы, которая проводилась Миланским политехническим университетом, специалистами из Linklayer Labs, а также командой Trend Micro, занимающейся исследованием угроз системам переднего обзора (FTR).

«В настоящее время уязвимость не может быть устранена при помощи современной технологии обеспечения безопасности автомобиля, и чтобы полностью решить эту проблему, необходимы масштабные, радикальные изменения в стандартах и способах построения бортовых сетей и устройств», — написал в своем блоге Федерико Магги (Federico Maggi), старший исследователь по угрозам в Trend Micro.

«Реально, пока данная уязвимость будет устранена, сменится целое поколение автомобилей. Недостаточно просто отозвать их или обновить защиту », — сказал он.

По словам Магги, в отличие от громкого случая удаленного взлома Jeep Cherokee исследователями по безопасности Чарли Миллером (Charlie Miller) и Крисом Валашеком (Chris Valasek) в 2015 году, потребовавшим доступа к передаче сообщений CAN или ввода сообщений, этот новый тип взлома невозможно обнаружить, используя существующую технологию обнаружения и предотвращения несанкционированного доступа.

Как он добавил, автопроизводители не могут просто обновить программное обеспечение, работающее на устройстве автомобиля, чтобы исправить уязвимости, которые могут быть использованы злоумышленниками.

Помимо того факта, что средство для быстрого устранения уязвимости отсутствует, исследователи уверены в том, что их открытие значительно и не может не вызывать опасений, поскольку в результате атаки могут быть отключены устройства, включая системы активной безопасности, соединенные с сетью автомобиля. При этом атака произойдет таким образом, что останется незамеченной современными механизмами обеспечения безопасности.

Если верить исследователям, уязвимы все современные машины, так как атака может быть совершена независимо от того, кто является производителем. Но также они отмечают, что некоторые поставщики могут использовать нестандартные меры противодействия, которые затруднять хакерскую атаку.

В свете всех этих фактов исследователи призывают организации, занимающиеся стандартизацией, регулятивные органы и автопроизводителей пересмотреть конструктивное решение цифровых физических систем управляющих машинами будущего, поскольку проблема безопасности, выявленная в результате исследования, лежит в области стандартов, определяющих принципы работы автомобильной сети.

Атака поражает сетевой протокол, объединяющий все бортовое оборудование машины, такое как подушки безопасности, например, а также системы, отвечающие за связь всех устройств.

Единственным способом избежать риска прямо сейчас, по словам исследователей, является обновление стандарта CAN, которое было бы предложено, принято и реализовано. Но такое обновление коснется уже следующего поколения машин.

Так как CAN-протокол в 1993 году был включен в стандарт ISO 11898, он использовался в качестве стандартного практически на каждом легковом автомобиле, который сейчас ездит по улицам. Также, он был единственным приемлемым протоколом с точки зрения федеральной судебной системы США.

Проблема также состоит в том, что обнаруженная исследователями уязвимость позволяет нарушить процесс обработки ошибок, предусмотренный стандартом CAN. Если устройство передает слишком много сообщений об ошибке, стандарт предполагает отключение устройства от сети CAN путем введения состояния «Bus Off» (отключения шины), чтобы изолировать потенциально неисправное устройство.

Это позволит злоумышленникам активировать эту функцию путем передачи такого количества ошибок, которое заставит изолировать или счесть неисправным устройство или систему, подключенную к сети CAN.

«Это, в свою очередь, может радикально повлиять на работу всей машины, то есть, сделать вождение не просто опасными, а смертельно опасным, особенно, если будут деактивированы такие важные системы, как подушки безопасности или антиблокировочная тормозная система», — говорит Магги.

«Все что нужно — это специально изготовленное устройство, которое злоумышленник соединит с машиной путем локального доступа, и даже не ввод каких-то новых сообщений, а повторное использование фреймов (сообщений), которые уже циркулируют в сети CAN после предыдущих атак, проведенных подобным образом», — добавил он.

Тем не менее, атака также может быть проведена с любой другой удаленной и подходящей для этого уязвимой точки, которая позволит хакеру перепрограммировать программно-аппаратные средства электронного блока управления (ECU). Такой доступ можно получить, например, через информационно-развлекательную систему.

Магги также считает, что любая локальная атака должна восприниматься серьезно, поскольку, учитывая современные способы передвижения на транспорте, предполагающие совместное использование автомобиля незнакомыми людьми, такие как райдшеринг, карпулинг и даже простой прокат автомобилей, предполагают, что множество людей будет иметь локальный доступ к одной и той же машине. «По сути, должен произойти серьезный сдвиг парадигмы с точки зрения автомобильной кибербезопасности», — подытожил Магги.

Исследователи уверены в том, что эффективная система защиты потребует кардинального изменения правил и политики, а также смены целого поколения автомобилей.

Рекомендации специалистов включают в себя изменение топологии или сегментацию сети CAN машины, чтобы остановить поток направленных сообщений об ошибках, который приведет к отключению определенной системы. Также исследователи рекомендуют регулировать доступ к диагностическому порту и создать специальный ключ, который позволит защитить устройство, подключенное к сети CAN, от несанкционированного доступа.

Данные рекомендации также предполагают шифрование идентификационных полей сообщений CAN, что не позволит злоумышленникам идентифицировать необходимые им сообщения, а также упростит обнаружение проникновения.

По результатам исследования американской Группой экстренного реагирования на киберугрозы для промышленных систем управления (ICS-Cert) было выпущено предупреждение.

«Единственная рекомендация по защите от взлома, которую мы можем дать на данный момент, является ограничение доступа к входным портам автомобилей (особенно к OBD-II). В настоящее время ICS-Cert работает с поставщиками и исследователями, чтобы свести угрозу к минимуму», — говорилось в предупреждении.

Также там было сказано, что группа разместила на своем сайте рекомендации по обеспечению безопасности систем управления, и что некоторые из них можно прочитать или скачать, включая рекомендации по повышению кибербезопасности промышленных систем управления путем применения стратегии глубокой защиты.

Помимо этого, в предупреждении давался следующий совет: «Организации, которые заметили какую-либо подозрительную активность, должны следовать внутренним процедурам и сообщать о том, что было обнаружено в ICS-Cert. Группа отследит угрозу и сопоставит ее с другими подобными случаями».

Арт Данерт (Art Dahnert), управляющий консультант компании Synopsys, также занимающейся вопросами безопасности, сказал, что история разработки CAN-шины уходит в 80-е годы прошлого века, когда еще не было всемирной «паутины».

«Никто в то время не мог и подумать, что кому-то может прийти в голову мысль о том, чтобы повредить машину посредством бортовой сети», — пояснил он.

Также Данхерт добавил, что данный тип возможной атаки отличается от известных способов кибератаки на автомобили, поскольку она может быть осуществлена без доступа к машине, а также никуда не исчезает после перезапуска.

«Благодаря подключенному телефону или возможностям телематики, атака может произойти без прямого физического доступа. И проблема не сводится к какой-то отдельно взятой модели автомобиля», — подытожил он.