Luka w QNX pozwala przejąć kontrolę nad samochodem

Artur Patnaik
Artur Patnaik
24.07.2015

Niestety, ale wraz z nieracjonalnym dodawaniem nowych technologii do samochodów bez odpowiednich testów narażamy na niebezpieczeństwo wszystkich użytkowników ruchu drogowego. Oto bowiem za pomocą laptopa dwóch hakerów było w stanie przejąć pełną kontrolę nad samochodem Jeep Cherokee napędzanym systemem QNX z nakładką UConnect 8.4.

Jak hakerzy przejęli kontrolę nad pojazdem? W najnowszych pojazdach standardem już się stały nadajniki Bluetooth i WiFi. Co więcej, Jeep Cherokee dostał specjalną funkcjonalność dostępną tylko w Stanach- dzięki sieci komórkowej Sprint samochód możemy przekształcić w hotspot WiFi. Tak- żeby jej klienci mogli się dzięki takim pojazdom łączyć z internetem.

To właśnie dzięki tej funkcji hakerzy byli w stanie dostać się do systemu audio, a potem przejąć kontrolę nad niższymi instrukcjami dla samochodu.

Co to oznacza? Za pomocą komputera mogli sterować temperaturą w pojeździe, radiem, wycieraczkami, odciąć zapłon w trakcie jazdy po autostradzie, a nawet zmieniać biegi i odłączyć hamulce!

Nawet system od BlackBerry jest bezbronny kiedy uda nam się do niego praktycznie bezpośrednio podłączyć…Brzmi to naprawdę strasznie szczególnie kiedy dowiadujemy się, że za pomocą sieci operatora atak można przeprowadzić właściwie z dowolnego miejsca na świecie. Na szczęście Chrysler wypuściło już aktualizację swojego systemu, który uniemożliwia przeprowadzenie ataku.

Przeprowadzający atak ogłosili już, że fragment kodu jak tego dokonać zostanie opublikowany podczas konferencji Black Hat, która odbędzie się w pierwszym tygodniu sierpnia.

Via: Wired

  • BogoMIPS

    Co za bzdury. Zarówno Uconnect jak i Entune jest oparty na technologii Microsoftu a nie na QNX. Proszę o źródło, że jestem w błędzie.

    • Kot Behemot
      • Adrian
      • BogoMIPS

        Może być 😉
        Chociaż bardziej chodziło mi o źródło pisane, np: http://www.digitaltrends.com/cars/chrysler-to-roll-out-new-microsoft-based-infotainment-system-in-us-on-new-fiat-500l/
        Chrysler ma od jakiegoś czasu deal z Microsoftem w zakresie dostarczania oprogramowania do pojazdów.

        • RDF2

          A ty dalej swoje bzdury rozpowszechniasz. MS powinien podać cię do sądu. Fiat jest właścicielem Chryslera, ale sama marka Chrysler korzysta z QNX, bo miał być lepszy 😉

          • BogoMIPS

            Po pierwsze jest lepszy wg. kryteriów z przeprowadzonych konsultacji konsumenckich. BTW. wg. badań firmy Ford około 40% użytkowników posiadających rozwiązanie bazujące na sposobie aktualizacji firmware poprzez PenDrive’a nie robi aktualizacji i użytkuje stare wersje systemu. Istotne jest też to z jaką szybkością producent oprogramowania wypuszcza poprawki łatające luki bezpieczeństwa. Co prawda dla tych 40% użytkowników, dla których proces aktualizacji jest zbyt skomplikowany, nie ma to znaczenia, ale dla innych i owszem. Po drugie to od czego „miał być lepszy” było w Fordach i Toyotach z 2010 roku, w których skuteczny atak na automatykę samochodu został przeprowadzony 2 lata wcześniej przed atakiem na nakładkę Uconnect. Po trzecie Chrysler nie w 100% aut korzystał z QNX, a twoja wypowiedź to sugeruje.
            A Fiat akurat jest firmą wgryzioną w technologie Microsoftu: https://www.microsoft.com/windowsembedded/en-us/customer-stories-details.aspx?id=36

          • RDF2

            chodzi o efekt końcowy. samochód został przejęty przez hakera, a sugerowano tutaj winę MS. nie bronię tej firmy – ma swoje za uszami, ale ludzie zapominają, że wszystko można złamać, żaden system pozbawiony aktualizacji nie jest bezpieczny. tylko tyle.
            wkurza mnie podejście MS – dno, inne firmy – bezpieczeństwo.

        • Mój drogi czas przyszły to nie teraźniejszość 😀 poza tym wystarczy sprawdzic w google- http://www.allpar.com/corporate/tech/uconnect.html „UConnect 8.4 is built atop QNX, a tight and secure version of UNIX developed by RIM (the Blackberry™ telephone maker). Chrysler and RIM are reportedly working together for full BB10 (BlackBerry OS 10) integration.”

          • BogoMIPS

            To ostatecznie wyjaśnia sprawę. Myliłem się… wychodzi na to że może nawet podwójnie. Chociaż napisano też, że Uconnect 5.0 (oparty o Windows Embedded): „The UConnect 5.0 system launched in various Chrysler cars and trucks including Ram 1500 with the 2014 model year.” Z podanego linku wynika, że 2 lata temu ta sama ekipa złamała Ford Sync i system w Toyocie. No i też jest ZONK, bo i Ford i Toyota korzystały z Windows Embedded Automotive, obecnie Ford korzysta z systemu QNX ( http://www.usatoday.com/story/money/cars/2014/12/11/ford-sync-3/20234131/ ).
            No i pytanie, czy poprzednio też złamano QNX czy Windows ?

          • Krzysztof Kałębasiak

            Nie pomyliles sie. Weszli do nakladki.

    • RDF2

      sam poszukaj żródła zanim zaczniesz pisać bzdury.

      • BogoMIPS

        Skąd tyle agresji w młodej osobie ?
        W przytaczanym w artykule źródle (Wired.com) nie znalazłem wzmianki o QNX.

        • RDF2

          Nie ma żadnej agresji. Po prostu mam alergię na głupotę.
          Już wczoraj wskazałem na Twój błąd. Nie dość, że nie poprawiłeś postu, to jeszcze dzisiaj powtórzyłeś go kilka razy.
          Wydaje mi sie, że w twoim poście do mnie, zabrakło pewnego magicznego słowa.

          • Krzysztof Kałębasiak

            Kupiles juz cos od BB, ze smiesz sie tu madrzyc?

          • RDF2

            Żeby ci odpowiedzieć, musiałbym się zniżyć do poziomu ameby, a tego nie potrafię. Wybacz.

          • Krzysztof Kałębasiak

            Może nie zauważyłes ale odpowiedziales. Przestan trollowac na tym forum.

          • BogoMIPS

            On nie kupi nic od BB, przynajmniej z tego co jest obecnie na rynku, bo nie uważa, że BB jest dobre.
            Udziela się za to wśród posiadaczy Blackberry wskazując, że ich urządzenia są przeciętne, wskazując na lepsze alternatywy, np.: Windows Phone. To działalność misyjna. Może nawet powołanie.

          • RDF2

            Niczego nikomu nie wskazuję. Nie posiadam smartfona BB, ponieważ szkoda mi pieniędzy na sprzęt bez przyszłości. Nie wiadomo co Chen wymyśli za 3 miesiące.

            Kupując rok temu L930 miałem przynajmniej zapewnioną aktualizację do W10 i niezły aparat foto. Sprzęt trochę mnie jednak rozczarował i raczej zakończę swoją przygodę z lumiami.
            W tym roku kupię prawdopodobnie iPhona (macbooka posiadam od lat) – taki ze mnie misjonarz.

            Nie wiem w związku z tym, jaka jest moja misja. Natomiast twoją jest, jak widzę. pisanie bzdur i obrażanie.

  • wit30

    Hakerzy potrafią zmienić biegi w trakcie jazdy. He, ciekawe czy manuala także można zmienić? Ale jaja! Żeby czuć się bezpiecznie należałoby przesiąść się na Poloneza. Albo kupić konia wręcz…

  • waldekkossinski