Carica il cellulare di qualcun altro nella mia auto

77

Una persona dall'aspetto vaghi si è avvicinata alla mia macchina l'altro giorno mentre stavo parcheggiando e mi ha chiesto se poteva caricare il suo cellulare nella mia auto e si è offerto di pagarmi $ 5. Non gli ho permesso di caricare il suo telefono nella mia auto, ovviamente, ma mi sono chiesto se ci fosse qualcosa che avrebbe potuto fare (oltre a caricare il suo telefono) se avessi collegato il suo telefono alla porta USB della mia auto. Qualcuno sa se si tratta di una truffa di qualche tipo?

    
posta courtney 08.04.2016 - 23:42
fonte

4 risposte

67

Dato che non conosco il modello della tua auto ma sembra che tu sia preoccupato per la sicurezza delle informazioni e il fatto che l'eventuale attaccante abbia scelto la tua auto, suppongo che la porta USB della tua auto non sia solo di alimentazione.

Il telefono può fare qualsiasi cosa su questa porta USB perché ogni dispositivo USB può identificarsi come qualsiasi dispositivo (memoria, tastiera, rete, display, ...). Cerca una cattiva USB.

Il vettore di attacco più critico è il sistema di bus nella tua auto. CAN è il protocollo più conosciuto ma ce ne sono altri basati su UDS (che è ancora debole dal punto di vista della sicurezza). Puoi immaginarlo come una rete nella tua auto in cui tutti i componenti possono comunicare tra loro con più o meno restrizioni.

Ecco alcuni possibili scenari:

  1. La porta USB potrebbe essere utilizzata come porta di manutenzione doppia che potrebbe consentire l'accesso completo al sistema di bus dell'automobile.

  2. Il sistema multimediale per auto potrebbe presentare una vulnerabilità che potrebbe consentire l'escalation dei privilegi sul sistema bus. (In base alla progettazione, il sistema multimediale deve essere isolato dai componenti critici sul bus, ma in pratica tutti i distributori non riescono a farlo.)

  3. Se la tua auto supporta qualche tipo di funzionalità wireless per lo sblocco e l'avvio, questo potrebbe far parte di alcune tecniche di sfruttamento.

  4. L'auto potrebbe essere utilizzata come ponte tra il dispositivo attaccante e il telefono (se abbinato in qualche modo alla tua auto tramite Bluetooth o WiFi) per un qualche tipo di attacco contro il tuo telefono.

  5. Il sistema multimediale per auto potrebbe essere infettato da un qualche tipo di malware rivolto al tuo smartphone o ad altri dispositivi collegati.

  6. Il malware che indirizza direttamente la tua auto (come ad esempio il ransomware) sarebbe anche possibile ma spero davvero che questo settore non sia ancora arrivato.

  7. Solo per dare una sbirciata per alcuni dettagli o per distrarti per qualche motivo.

Solo per citarne alcuni. Però. Questa è una domanda molto interessante e uno scenario di attacco. Forse avrei dato a questa persona $ 100 solo per conoscere il loro vero intento in cambio di non chiamare immediatamente i poliziotti.

    
risposta data 09.04.2016 - 01:16
fonte
16

Senza essere in grado di ricercare le vulnerabilità dei veicoli, non possiamo davvero dirlo. È sicuramente possibile che ci sia stata una sorta di exploit di autoplay nella gestione USB del tuo veicolo.

Dovremmo conoscere il tuo modello specifico e poi dovremmo andare a comprare / testare il veicolo. Dopo di che avremmo bisogno di eseguire molti test. Tuttavia, dato che la sicurezza è un ripensamento per molti sviluppatori, direi che è sicuramente possibile.

In conclusione, vorrei che not consentisse alle persone di farlo.

    
risposta data 09.04.2016 - 00:03
fonte
15

Gli attacchi tramite USB e altre interfacce per auto come lo stereo sono rischi noti nelle auto moderne. C'è una ricerca che ha dimostrato che le auto possono essere compromesse da vari input, inclusi i sistemi di intrattenimento.

Considera quanto segue da questo articolo da IT World :

They found lots of ways to break in. In fact, attacks over Bluetooth, the cellular network, malicious music files and via the diagnostic tools used in dealerships were all possible, if difficult to pull off, Savage said. "The easiest way remains what we did in our first paper: Plug into the car and do it," he said

Per una lettura più approfondita, questo documento (collegato all'articolo precedente) descrive alcune delle ricerche che circondano" l'accelerazione involontaria ". Alcuni degli esempi includono la possibilità di fare cose come spegnere i freni, spegnere il motore, falsificare le letture del tachimetro e bloccare le porte.

Tutto ciò che è stato detto, dubito strongmente che volevano hackerare la tua auto. Più probabilmente, volevano derubarti, o afferrare qualsiasi cosa fosse facile da afferrare dal cruscotto / sedile, o forse anche provare a rubare l'auto stessa.

    
risposta data 09.04.2016 - 07:39
fonte
13

Dipende dal tipo di porta USB che hai. Se si dispone di una porta USB di sola alimentazione (ad esempio nell'adattatore per accendisigari), non c'è nulla che possa essere fatto per attaccare il veicolo. D'altra parte, se la tua porta USB è una porta dati per qualche dispositivo, allora le vulnerabilità potrebbero essere piuttosto ampie. Nel valutare i rischi, prendere in considerazione ciò che il dispositivo con i dati USB è in grado di. Ad esempio, se si dispone di un sistema stereo con una porta dati USB, solo il sistema stereo è vulnerabile. Tuttavia, se la tua porta dati ti consente di connettere dispositivi a un computer che gestisce qualsiasi sistema di sicurezza per l'auto, i rischi sono piuttosto ampi. Le vulnerabilità esatte che potrebbero comportare l'attivazione di tali rischi dipenderanno dalle norme sulla produzione del computer e sui produttori di automobili, comprese le politiche di aggiornamento, le vulnerabilità del sistema operativo e così via.

È consigliabile essere cauti nel collegare uno strano dispositivo a una porta dati USB che si interfaccia con il computer principale della tua auto.

    
risposta data 09.04.2016 - 02:21
fonte

Leggi altre domande sui tag