I prodotti OBD-II "Connected Car" (Automatic Pro, Hum) sono sicuri?

Naviga le tue risposte
6

Esiste una classe emergente di dispositivi di dati sui veicoli noti come prodotti "Connected Car". Due esempi sono Automatic Pro e Hum, che entrambi si collegano alla porta OBD-II della tua auto e sono in grado di registrare informazioni come la posizione dell'utente o persino lo stato del motore.

Il ricercatore di sicurezza della poltrona in me è inorridito a vedere un dispositivo di elaborazione incorporato come una ECU di un veicolo, praticamente privo di sicurezza nel suo design, connesso a Internet. Sembra che tutto ciò che si deve fare per causare un incidente importante sia compromettere il dispositivo e provocare qualsiasi tipo di comando "kill" dannoso che abbia un impatto su qualsiasi cosa nel veicolo controllato dalla centralina. Che, nella maggior parte dei veicoli realizzati dal 1996, è quasi tutto .

Questi dispositivi sono davvero sicuri da usare? I produttori stanno prendendo sul serio il potenziale compromesso di queste unità? Nella mia valutazione, ciò significherebbe disabilitare qualsiasi modo per inviare dati alla porta OBD-II, omettendo un pin o qualsiasi altra cosa. Se questi dispositivi non sono fisicamente in grado di inviare dati al computer del veicolo, mi sentirei più sicuro della loro sicurezza (in assenza dell'ovvio problema di poter spiare la tua posizione). Una cosa del genere è anche possibile date le caratteristiche che hanno?

    
posta Mike Nielsen 14.12.2016 - 04:39
fonte

1 risposta

5

Are these devices actually safe to use?

No . Questi dispositivi hanno accesso al "bus CAN a bassa velocità" e inviano effettivamente messaggi sul CAN-BUS. Chiunque comprometta il tuo dispositivo OBD-II può inviare messaggi falsi per ingannare le diverse ECU collegate al bus CAN.

Are manufacturers taking the potential compromise of these units seriously?

Sì, ma ci sono alcuni problemi. Sebbene i grandi produttori comprendano che esiste un potenziale rischio per la sicurezza, non c'è molto che possano fare al riguardo, a causa dei limiti intrinseci del protocollo del bus CAN.

Affinché possano implementare la sicurezza senza modificare il protocollo CAN bus, il modo corretto sarebbe uno dei seguenti:

  • Costruire ogni ECU con un AV nella ECU fin dall'inizio (già fatto da Protezione Karamba )
  • Avere un'altra ECU collegata al bus CAN in ascolto e che esegue DPI (effettuata da Argus Sec )
  • Esecuzione di analisi statistiche sul comportamento del bus CAN e possibilità di distinguere tra attività normale e attività anormale (eseguita da Cycuro )

Quindi probabilmente ti stai chiedendo, perché non stai vedendo nessuno di questi impiantato?

Le aziende manifatturiere hanno paura di inserire nuovi dispositivi sul bus CAN senza un adeguato test di massa. Per far sì che le piccole imprese dimostrino il funzionamento dei loro prodotti, devono prima testarli su una massiccia quantità di automobili che non è disponibile perché i produttori sono spaventati. Quindi è un intero ciclo.

Anche se questo potrebbe essere il caso, potrebbe anche esserci una via d'uscita da questo ciclo, come aziende come Xee e Carvoyant sta fornendo kit di test da distribuire ai conducenti dagli sviluppatori. Questi driver di sviluppo hanno i loro dati raccolti e inviati al "server" degli sviluppatori e, a questo punto, i dati possono essere utilizzati offline / off-road per eseguire i test necessari.

Is such a thing even possible given the features they have?

Come accennato sopra, attualmente ciò non è possibile, a causa del modo in cui è configurato il protocollo ODB-II.

Conclusione:

I produttori vogliono adottare la prevenzione della sicurezza informatica, ma il mercato non è ancora pronto (ma più vicino che mai!) e spetta a te assicurarti di proteggere l'ambiente OBD-II con la tua consapevolezza.

I vettori di attacco cresceranno e gli attacchi avranno il potenziale per iniziare a diventare un po 'pazzi (che dire del computer di un meccanico che viene compromesso e poi usato per diffondere malware alle auto attraverso il dispositivo OBD-II del meccanico?) e dobbiamo aspettare e spero per il meglio dai produttori.

Puoi leggere di più sul bus OBD-II e CAN qui - Bus CAN e OBD II spiegati per i manichini, con esempi di come funzionano CAN Bus e OBD II

    
risposta data 14.12.2016 - 09:56
fonte

Leggi altre domande sui tag

Archiviazione sicura dei segreti delle applicazioni su Linux Capire un tentativo di sfruttare un server web