0
Onderzoekers hebben ontdekt dat er een lek die waarschijnlijk van invloed op alle nieuwe voertuigen. Het kan een aanvaller uit te schakelen veiligheidsvoorzieningen zoals airbags, ABS en stuurbekrachtiging — of van een voertuig geautomatiseerde componenten die zijn aangesloten op de controller area network) of de CAN-bus.
Omdat het een fout in het ontwerp waardoor de CAN-bus messaging protocol standaard gebruikt in de CAN-controller chips, de kwetsbaarheid kan niet simpelweg worden opgelapt met een terugroepen, zoals gebeurde na de onderzoekers op afstand gehackte een Jeep in 2015. Het is ook niet specifiek voor één type auto of de onderliggende elektronica.
Bovendien, een aanval op de fout die worden opgesteld door verschillende onderzoekers sidesteps common inbraak-preventie en detectie technieken die beschermen Blikjes tegen cyberaanvallen door het blokkeren van kwaadaardige KUNNEN berichten.
In plaats van te proberen het injecteren van een kwaadaardige CAN bus bericht of ‘frame’ in het netwerk, de aanval gericht is op hoe reageert foutmeldingen. Als het KAN krijgt te veel foutmeldingen van een apparaat is losgekoppeld van het KUNNEN, het uitschakelen van het apparaat dat de functionaliteit.
“Onze aanval richt zich op hoe KAN handvatten fouten”, schrijft Trend Micro onderzoeker Federico Maggi, een van de papier-auteurs.
“Fouten ontstaan wanneer een apparaat aflezen van de waarden die niet overeenkomen met de oorspronkelijke verwachte waarde op een frame. Wanneer een apparaat detecteert dat geval schrijft u een foutbericht op de CAN-bus om ‘recall’ de dolende frame en de kennis van de andere apparatuur naar volledig negeren van de opgeroepen frame.”
Dit incident is zeer vaak voor en is meestal het gevolg zijn van natuurlijke oorzaken, een tijdelijke storing, of door gewoon te veel systemen en modules voor het versturen van beelden via de KAN op hetzelfde moment.
“Als een apparaat stuurt te veel fouten, dan wordt-zoals normen bepalen-het gaat in een zogenaamde Bus-Off staat, waar het is afgesneden van de KAN en het voorkomen van het lezen en/of schrijven van gegevens op de KAN. Deze functie is handig bij het opsporen duidelijk defecte apparaten en stopt ze uit het activeren van de andere modules/systemen op de KAN. Dit is de exacte functie die in onze aanval misbruiken.”
De aanval verschilt van de Jeep hack op een aantal niveaus. Ten eerste, een aanvaller moet de fysieke toegang tot het voertuig en de stekker in een kwaadaardige apparaat te richten op een specifieke component die is aangesloten op het voertuig netwerk.
Als Wired noten, het maakt ook niet vertrouwen op het hacken van een component op de KAN te vervalsen van nieuwe kozijnen en kapen van fysieke controles. Integendeel, het is een denial-of-service-aanval “wacht een target-component te verzenden een van die kaders en stuurt zijn eigen tegelijkertijd met een enkele beschadigde bits dat wordt gebruikt om de juiste bit in de originele frame”.
Het herhalen van deze fout-recall-proces vaak genoeg oorzaken voor het doelapparaat worden afgesneden van de KAN, als het moet in het kader van het protocol.
Niettemin, Charlie Miller, een van de onderzoekers achter de Jeep hack, zei dat de aanval moeten worden meegewogen in inbraakdetectiesystemen voor de CAN-bus. Hij wijst er ook op dat het moeilijk zou worden voor een ID ‘ s om het verschil te zien tussen een defecte component en een aanval.
Verwante dekking
IBM introduceert nieuwe security testing services voor IoT, automotive
Als het aantal aangesloten apparaten zich sneller uitbreidt, testen van de beveiliging moet optreden volledig door ontwikkeling en implementatie van IBM zegt.
Zelf-rijdende auto ‘ s vs hackers: Kan deze acht regels stoppen inbreuken op de beveiliging?
Het verenigd koninkrijk is uitgegeven een reeks van cybersecurity richtlijnen voor voertuigen.
Plug de auto gaten in de beveiliging voor zelf-rijdende voertuigen komen, industrie gewaarschuwd
Europese security agency zegt dat meer moet worden gedaan om het maken van autonome auto ‘ s veilig zijn.
Volkswagen lanceert nieuwe cybersecurity stevig aan te pakken auto beveiliging
De autofabrikant is de samenwerking met Israëlische cybersecurity-experts om te verblijven op de top van digitale bedreigingen aan haar voertuigen.
0