Comments 47
Security through obscurity крайслеру не поможет. Обнародованный факт самого наличия уязвимости подстегнёт новых исследователей и они так или иначе найдут способ взлома.
Вместо этого, они получат USB-флешку, с которой, при подключении её к автомобилю, будет загружен патч для устранения ошибок защиты.
Какой-то тонкий троллинг. Оказыавется, они еще по штатному USB уязвимы.
ассиметричное шифрование еще никто не отменял.
Не факт что оно там есть (более чем уверен, что ее там нет, судя по тому что у машины внешний IP с открытым доступом), и в любом случае — зачем оставлять еще одну потенциальную уязвимость? На СЦ нужно перешивать, со спец.-оборудованием…
внешний IP с открытым доступомДа ну!
Если на каждый Крайслер свой IP-адрес выделять, IPv4 точно не хватит. У них IPv6?
Они получали GPS координаты, идентификационный номер, модель, дату выпуска и IP адрес автомобилей в ближайшей местности.
Ну если у смартфонов в мобильной сети есть IPv6, почему бы не быть им и в автомобилях, там же такие же GSM-Модули.
Это могут быть IP за натом в сети сотового оператора
Если он за NAT, то к нему так просто не подключишься. Или на каждой машине запущен сервис какой-то, который проброшен через NAT? Как-то сомнительно.
Хакеры внутри сети, автомобили внутри сети.
То есть можно просто взять мобильный телефон и напрямую подключиться к GSM-модулю автомобиля?! OH SHI~
В том и состоит уязвимость, чтобы знать, как искать эти автомобили, на какой порт стучаться, как авторизоваться, как поднять уровень прав, как управлять системами. Знание того, что вы можете подключиться ничего вам не даст.
UFO just landed and posted this here
Нет, обновления прошивок UConnect скачиваются с офиц. сайта . Обновление представляет собой архив с незашифрованными файлами (но просто так их подменять не получалось, когда хотели фоновую картинку изменить :)
Устанавливать обновления самостоятельно действительно удобнее, чем ехать для этого в СЦ.
Устанавливать обновления самостоятельно действительно удобнее, чем ехать для этого в СЦ.
Спец-оборудование это тоже security through obscurity, ведь его всегда можно скопировать или приобрести на черном рынке. А если есть правильное шифрование, то тут хоть флешка, хоть оборудование — одинаково безопасно.
Мне интересно, чем думают автопроизводители делая хотя бы теоретически возможным из беспроводной сети для загрузки музыки, возможность отключать тормоза автомобиля.
Допустим эту дыру закроют, а как дальше жить с таким автомобилем зная, что какой нибудь Вася обнаружив уязвимость может вам тормоза отключить например перед поворотом на скорости 100 км/ч, чисто посмеяться, уж не говоря про целенаправленную атаку на вас.
Допустим эту дыру закроют, а как дальше жить с таким автомобилем зная, что какой нибудь Вася обнаружив уязвимость может вам тормоза отключить например перед поворотом на скорости 100 км/ч, чисто посмеяться, уж не говоря про целенаправленную атаку на вас.
>Мне интересно, чем думают автопроизводители делая хотя бы теоретически возможным из беспроводной сети для загрузки музыки, возможность отключать тормоза автомобиля.
Быть первыми и оставить возможность для расширения. Вот только времени все протестировать не остается.
В автомобильной индустрии еще не было случаев, чтобы из-за использования сырых технологий был большой объем проблем, который привел бы к банкротству компаний. Но если будет хоть один подобный случай — он полностью закроет целое направление в отрасли. Тот же V2V для беспилотных автомобилей может пострадать, хотя идея в целом то хорошая, но из-за проблем с реализацией может быть отложено на неопределенный срок.
Быть первыми и оставить возможность для расширения. Вот только времени все протестировать не остается.
В автомобильной индустрии еще не было случаев, чтобы из-за использования сырых технологий был большой объем проблем, который привел бы к банкротству компаний. Но если будет хоть один подобный случай — он полностью закроет целое направление в отрасли. Тот же V2V для беспилотных автомобилей может пострадать, хотя идея в целом то хорошая, но из-за проблем с реализацией может быть отложено на неопределенный срок.
возможность отключать тормоза автомобиля.
Я вот не понимаю, как он прошел сертификацию. Вроде как по всем правилам с органами управления можно делать что угодно, но тормоза должны быть дублированы физически (механика/гидравлика)
Это уже давно не так: ABS.
Зачем такие важные системы объединены с музыкой и интернетом, мне не понятно.
Зачем такие важные системы объединены с музыкой и интернетом, мне не понятно.
Возможно ошибаюсь, но ABS вроде тоже механическая система. Включаться/отключаться она может как угодно, но без тормозов не оставит.
Электронная. К сожалению, способна оставить без тормозов, и оставила в этом хаке.
Вы не совсем правы, ABS сама по себе конечно электронная система, но тормозная система гидравлическая (механическая). И не дать Вам нажать на тормоз не может. Любую abs можно «продавить» если нажать на тормоз посильнее, даже если abs пытается разблокировать колеса. Если не ошибаюсь полностью электронная педаль тормоза запрещена.
Никто не запрещает жать на тормоз — жмите на здоровье! Зато каналы гидравлики перекрываются, по крайней мере, частично (тут уж как производитель постарался). Мы не знаем насколько сильно упомянутый доброволец пытался остановить машину: включал ли он «ручник», лупил ли по педали тормоза или просто констатировал факт «проседания» тормозов и решил что сделать ничего нельзя.
Вот и ЭУР по идее не должен перехватывать управление, а только помогать, а перехватывает же.
Вот и ЭУР по идее не должен перехватывать управление, а только помогать, а перехватывает же.
Не совсем так, в гидромодуле ABS/ESP есть электронные клапаны, которые в сервисном диагностическом режиме можно принудительно открывать и закрывать. Переключив клапаны определенным образом вы можете отключить педаль от исполнительных механизмов на колесах.
Возможно кто-то замечал когда срабатывает система помощи при трогании в горку, вы нажимаете педаль тормоза стоя на склоне, начинаете отпускать педаль и система понимая что стоит на уклоне запирает клапаны оставляя давление на тормоза. Если после этого сразу опять нажать на педаль тормоза, то она будто упирается во что-то, клапаны закрыты, педаль больше не соединена с колесами.
Но вообще в новости нет подробностей, знаю про устройство таких систем в современных фордах, и там например нельзя передвигаться быстрее кажется 15км/ч в режиме диагностики, когда доступно ручное управление клапанами ABS/ESP. Т.е. на ходу не получится включить эту фишку.
Возможно кто-то замечал когда срабатывает система помощи при трогании в горку, вы нажимаете педаль тормоза стоя на склоне, начинаете отпускать педаль и система понимая что стоит на уклоне запирает клапаны оставляя давление на тормоза. Если после этого сразу опять нажать на педаль тормоза, то она будто упирается во что-то, клапаны закрыты, педаль больше не соединена с колесами.
Но вообще в новости нет подробностей, знаю про устройство таких систем в современных фордах, и там например нельзя передвигаться быстрее кажется 15км/ч в режиме диагностики, когда доступно ручное управление клапанами ABS/ESP. Т.е. на ходу не получится включить эту фишку.
недавно я ездил на Infiniti Q50, где нет вообще никакой механической связи у водителя через органы управления, в том числе у тормозов и руля
p.s. для руля там продублирована система в том числе механической частью, но по факту управление без проводов, симулятор
p.s. для руля там продублирована система в том числе механической частью, но по факту управление без проводов, симулятор
у меня недавно из-за кривого китайского OBD адаптера и Torque отключились контроллеры ABS и VCS, тормоза работали. Как на старых жигулях, туго, но работали. И это на приусе, где педаль тормоза не связана с гидравликой напрямую, ибо рекуперация.
Адаптер отправился на свалку, конечно же. Американским машинам никогда не доверял
Адаптер отправился на свалку, конечно же. Американским машинам никогда не доверял
Это закладки АНБ&co, будут всегда.
То есть, они теперь продемонстрировали, что критический софт автомобиля можно простым вставлением флэшки поменять? :)
Оффтоп. Сейчас вся инфа про машины-роботы. А если к ним получить доступ???
Думаю, там неблокируемый стоп-кран предусмотрят.
Более интересно сколько лет они будут осуществлять поддержку ПО автомобилей. ИМХО 10 лет от даты выпуска.
Более интересно сколько лет они будут осуществлять поддержку ПО автомобилей. ИМХО 10 лет от даты выпуска.
Десять лет от даты выпуска как-то ниочем, если на улицах можно встретить машины выпускавшиеся ещё сорок лет назад… А ставя такое софтовое ограничение, они потенциальных клиентов точно отпугнут — одно дело купить новую ОС потому что поддержка старой прекратилась, совсем другое покупать новую машину по той же причине, тогда когда предыдущая могла бы ездить ещё столько же, а то и вовсе за неё кредит ещё не до конца выплачен.
Я подозреваю, что вопрос возникнет через 10 лет не с ПО, а с железом на котором будет невозможно реализовать необходимый функционал. Какие-нибудь аппаратные требования принятые на уровне новых стандартов
>Десять лет от даты выпуска как-то ниочем, если на улицах можно встретить машины выпускавшиеся ещё сорок лет назад…
Сейчас расчетный срок службы автомобиля при ежедневном использовании как раз лет 10. Это чисто инженерное, а так можно будет еще и маркетинговое обоснование подтянуть. Боюсь, что так и будет, может немного дольше, но не 40 лет.
Сейчас расчетный срок службы автомобиля при ежедневном использовании как раз лет 10. Это чисто инженерное, а так можно будет еще и маркетинговое обоснование подтянуть. Боюсь, что так и будет, может немного дольше, но не 40 лет.
Может мое мнение покажется абсурдным, но
Жизненно выжные системы — тормоза и рулевое управление имеют механические соединения и только усиливаются электро-механическими или гидравлическими системами. Это оговорено в «законах» ассоциаций автопроизводителей.
Перед выходом в серийное производство автомобиль тестируют 100500 раз на все, что можно себе представить.
Как по мне очень «американский» пиар Chrisler — забота о безопасности.
доступ к критически важным системам управленияавтопроизводители не открывают даже своим поставщикам.
Жизненно выжные системы — тормоза и рулевое управление имеют механические соединения и только усиливаются электро-механическими или гидравлическими системами. Это оговорено в «законах» ассоциаций автопроизводителей.
Перед выходом в серийное производство автомобиль тестируют 100500 раз на все, что можно себе представить.
Как по мне очень «американский» пиар Chrisler — забота о безопасности.
«Автопроизводитель» — это куча человек и организаций. Везде найдется слабое звено в виде плохого пароля разработчика софта или дырки на сервере. Плюс еще и утечки непосредственно из АНБ&co (только не такие публичные, как со Сноуденом), которые подобные закладки в софт и вставляют. Посмотрите на списки критических уязвимостей в открытом софте и умножьте на N (потому что в закрытом софте — все еще гораздо хуже).
Почитайте про рулевое управление гибрида Q50, да там есть механическая связь которая активируется только в случае выхода из строя основного, но в остальных условиях связь по проводам, как у симулятора
Sign up to leave a comment.
Chrysler отзывает около 1,4 млн. автомобилей