Un lettore CD su un'auto senza conducente pone un rischio per la sicurezza? [chiuso]

26

Gli hacker sono intelligenti. Potrebbero hackerare un'auto che guida da soli attraverso il suo lettore CD? Da quello che ho capito, il codice malevolo potrebbe essere caricato sull'automobile senza conducente tramite CD che potrebbe dare loro l'accesso a freni, tergicristalli, sensori, ecc. (Tutti potrebbero essere usati per commettere un omicidio o tenere in ostaggio l'auto).

    
posta Jake Wickham 11.10.2016 - 14:18
fonte

6 risposte

85

Non su un'auto ben progettata

Il lettore CD fa parte del sistema multimediale. È probabile che il sistema multimediale abbia una serie di vulnerabilità di sicurezza e un CD dannoso può probabilmente assumere il controllo del sistema multimediale. Sarebbe difficile risolvere questo problema senza aumentare notevolmente i costi o limitando la funzionalità di questo.

I sistemi di controllo della vettura - il bus CAN - dovrebbero essere strongmente separati dai sistemi multimediali. In precedenti attacchi, come Jeep hacking , attaccanti sono stati in grado di passare dal sistema multimediale al bus CAN. Tuttavia, ciò rappresenta una progettazione e un'implementazione inadeguate. I due sistemi devono essere tenuti separati - o almeno, hanno un'interfaccia molto ristretta - ed è possibile farlo a costi ragionevoli.

Resta da vedere se le future auto senza conducente saranno ben progettate.

    
risposta data 11.10.2016 - 15:42
fonte
27

Sì, sarebbe

I ricercatori dell'UC San Diego hanno effettivamente implementato un attacco tramite questo vettore:

“We found a flaw in a CD player in our car,” he said. “You could pick a song and code it in a way that if you played on your PC it’ll play fine, but if you play it in your car, it’ll take it over.”

http://www.sandiegouniontribune.com/news/education/sdut-ucsd-professor-cyber-hacking-2015aug28-story.html

Molto probabilmente si tratta di una vulnerabilità legata alla corruzione della memoria nei tag meta information nel file audio. Grazie a ciò, probabilmente erano in grado di indirizzare i comandi al sistema CAN che regola la macchina.

Ma non hai nemmeno bisogno di un CD; nel peggiore dei casi può accadere in remoto attraverso le reti mobili

    
risposta data 11.10.2016 - 14:23
fonte
10

Non importa il lettore CD, le tue gomme stanno cospirando contro di te

"Vulnerabilità della sicurezza e della privacy delle reti wireless in-car: una gomma Case study del sistema di monitoraggio della pressione "

We also found out that current implementations do not appear to follow basic security practices. Messages are not authenticated and the vehicle ECU also does not appear to use input validation. We were able to inject spoofed messages and illuminate the low tire pressure warning lights on a car traveling at highway speeds from another nearby car, and managed to disable the TPMS ECU by leveraging packet spoofing to repeatedly turn on and off warning lights.

    
risposta data 11.10.2016 - 22:59
fonte
5

Parlando da esperienze personali qui, non una possibilità di palle di neve all'inferno.

Facevo parte di un team che nel 2008 ha scritto uno stack di dispositivi completamente nuovo per un sistema di infotainment automobilistico. Un po 'di tempo fa, ma anche allora abbiamo compreso la necessità fondamentale di proteggere il nostro stack di software.

Il nostro problema è stato aggravato dal fatto che il sistema è stato eseguito (e eseguito) su Linux. E abbiamo pienamente rispettato i termini della GPL 2, il che significa che potresti inserire un codice sviluppato automaticamente e la della macchina accettarla.

Tuttavia, questo non era specificamente un rischio per la sicurezza perché l'auto utilizzava un sistema di firma digitale. Il tuo codice funzionerebbe, ma l'auto si è semplicemente rifiutata di parlare con il tuo software. E non ha ascoltato comunque - il sistema di infotainment nel migliore dei casi ha avuto accesso in sola lettura a un piccolo insieme di elementi di dati numerati come la velocità della vettura.

So che il nostro sistema era all'avanguardia nell'ingegneria automobilistica all'epoca, e il già citato hack in seguito. Non è davvero sorprendente. C'è un po 'di retaggio in corso, le ridisegnazioni dei fogli puliti non sono così comuni. La jeep è ovviamente una marca minore di un'azienda in difficoltà, quindi non sorprende che siano in ritardo. Ma questo non sarebbe un marchio che ti aspetteresti per produrre un'automobile senza conducente - i principali sospettati sarebbero aziende più sane (potrebbero essere Mercedes, potrebbero essere Toyota, e ovviamente Tesla)

    
risposta data 11.10.2016 - 22:21
fonte
0

La sicurezza delle auto a guida autonoma sta diventando un argomento di tendenza, poiché le automobili ottengono sempre più software.

Più codice e hardware c'è, più è esposto il sistema perché la superficie di attacco è più grande. Detto questo, non mi preoccuperei troppo del lettore CD. La più recente auto a guida autonoma sarà connessa a Internet per ottenere vari dati (meteo, traffico, musica in streaming, calendario di sincronizzazione, ecc. Ecc.). Se un'auto dovesse essere presa di mira, il cd non sarebbe una scelta saggia, e come hai detto tu, gli hacker sono intelligenti, quindi probabilmente indirizzerebbero porte più moderne e aperte al mondo esterno.

Detto questo, facciamo finta che ci sia un flusso nel tuo lettore cd: l'hacker dovrebbe farti scaricare una canzone, farla masterizzare su un CD e poi sperare che la giocherai sulla tua auto che guida - Quindi se non scarichi i file dodgy è praticamente impossibile per loro e sicuramente non ne vale la pena ...

Un'ultima cosa da aggiungere è che la canzone stessa potrebbe dare comandi vocali somme alla macchina se è compatibile ( come quello che hanno fatto per i telefoni ). Ancora una volta dovresti ottenere la canzone da una sorgente dubbia e questo non ti permette di fare qualcosa che non è progettato per funzionare con l'interfaccia vocale. Quindi è abbastanza improbabile che una canzone dirà alla tua auto di rompere ...

Da un punto di vista sviluppatore, penso che le auto a guida autonoma non saranno al 100% a prova di proiettile, ma saranno (e già lo saranno) molto più sicure di quelle a guida umana. è solo perché un computer ha un tempo di risposta più breve, non è mai ubriaco, assonnato o distratto, ha molti più sensi. ti affidi a un campo ottico da 200-220 °, il computer può contare su un sistema di telecamere a 360 ° abbinato a radar a lungo raggio, sensori di prossimità, ecc ...

Siamo onesti, quando lanciamo un razzo, è gestito da un computer, non da un umano, c'è una ragione per questo.

Spero che ti abbia aiutato a capire meglio i rischi e ad essere meno spaventato dall'auto che guida da solo.

    
risposta data 12.10.2016 - 17:33
fonte
0

Se è collegato ai sistemi che eseguono l'auto, allora tutto è possibile.
Se non è collegato, ad es. è un Discman , quindi no.

    
risposta data 12.10.2016 - 21:57
fonte

Leggi altre domande sui tag