Hakerzy mogą ukraść Twój samochód, czyli immobilizer złamany przez trójkę badaczy

Immobilizer to tylko jeden z systemów dbających o bezpieczeństwo naszego samochodu i komplikujących życie potencjalnym złodziejom. Dziś zaś nie jest on już najważniejszym z zabezpieczeń. Niemniej świadomość, że ten stosowany od lat mechanizm może być złamany bez większego wysiłku, jeśli tylko ktoś znajdzie luki bezpieczeństwa, może spędzać sen z powiek. Dlatego właśnie, świat motoryzacji zareagował z niepokojem na rewelacje trójki naukowców z 2013 roku, którzy rzekomo złamali ten system.

Większość z nas wie, mniej więcej, jak działa immobilizer. W skrócie, po włożeniu kluczyka z wbudowanym nadajnikiem do stacyjki, wysyłany jest sygnał do immobilizera w samochodzie, a następnie analizowany. Jeśli zostanie on uznany za właściwy, zgaśnie kontrolka i otrzymamy pełnie kontroli nad pojazdem. Jeśli jednak identyfikacja będzie niepomyślna i system uzna, że sygnał jest błędny: wówczas ewentualny złodziej będzie miał problem z uruchomieniem samochodu. Oto działanie immobilizera w teorii, która nie zawsze sprawdza się w praktyce.

Dwa lata temu, trójka badaczy (z Wielkiej Brytanii i Holandii) znalazła błędy w działaniu systemu Megamos Crypto, stosowanego jako zabezpieczenie w niektórych samochodach. Naukowcy próbowali upublicznić wyniki swoich badań podczas sympozjum USENIX Security w 2013 roku. Flavio Garcia, Barisa Ege i Roela Verdult chcieli opisać algorytm oraz wskazać na jego słabe strony.

Niestety nie udało się wówczas ujawnić wyników badań, gdyż brytyjski Wysoki Trybunał Sprawiedliwości zabronił publikacji najważniejszej części raportu, tej dotyczącej problemów z zabezpieczeniami. Argumentem przemawiającym za utajnieniem informacji była obawa przed ułatwieniem przestępcom kradzieży drogich samochodów, takich jak Audi, Bentley czy Lamborghini.

Wyniki badań czekały dwa lata na swoją publikację, która stała się możliwa dopiero w sierpniu bieżącego roku na konferencji dotyczącej bezpieczeństwa USENIX w Waszyngtonie. Trójka naukowców wyjaśniła, jak udało im się bezproblemowo złamać elektroniczne zabezpieczenia immobilizerów samochodów.

Powyższa tabela pochodzi ze wspomnianej pracy naukowej i wskazuje pojazdy, które wykorzystują system Megamos Crypto. Pogrubione samochody to pojazdy, na których eksperymentowano.

W swoim artykule „O demontażu Megamos Crypto: Bezprzewodowe wyłączanie immobilizera samochodowego”, naukowcy twierdzą, że znaleźli w internecie oprogramowanie zawierające algorytm Megamos Crypto i byli w stanie znaleźć słabości pozwalające na jego złamanie. Niepokojące może być szczególnie to, że program miał być dostępny w sieci już 2009 roku, natomiast trójka badaczy zgłosiła dziurę w zabezpieczeniach firmie EM Microelectronic, produkującej mikroprocesory używane przez koncern Volkswagena w trzy lata później. Pytanie, ilu złodziei odkryło luki w zabezpieczeniach przed nimi.

Mimo ryzyka wiążącego się z upublicznieniem wyników badań, złodzieje najpewniej wiele na nich nie zyskają, gdyż raport nie zawiera niezbędnych danych. Jak zaś trafnie oceniają eksperci Bitdefendera, gdy możliwe jest zdalne sterowanie funkcjami samochodu, a nawet zablokowanie jego hamulców, coraz większą wagę należy przykładać do zabezpieczeń przed cyberatakami, gdyż kradzieże samochodów stają się domeną hakerów.

Źródło: Bitdefender