ハッカーはもう一度ジープをハイジャックします、あなたのブレーキは彼らに属します

[アップデート14.40GMT:FCA声明]

車のハッカーCharlie MillerとChris Valasekは再びジープ・チェロキーを見据えた。今度はブレーキを完全にコントロールしている。

この攻撃では、ハッカーは車に物理的にアクセスしてCANバスを介してジープのシステムにアクセスする必要があり、攻撃者に車両を妥協させ、車両の制動システムを制御または完全に抹消する機会を与えます。

しかし、チームは、秘密のデバイスや無線リンク経由のリモート攻撃など、他のよりリモートの方法も使用できると述べています。

「登録」に記載されているように、ローカル攻撃は標的とされた攻撃のためにリモートで再設計される可能性がありますが、ハッカーの努力が必要です。

Miller氏は、Twitterでこのような攻撃が “間違いなく可能”であったと語った。

コンセプト(PoC)ビデオでは、デュオはジープで快適になり、ミラーはラップトップをダッシュ​​ボードの上のCANバスに接続しました。

CANバスは、燃費やエンジンの状態などの詳細なデータをフィードして表示するために正当に使用されていましたが、積極的に車を制御するためにこの接続を使用することもできました。

下のPoCに示されているように、ミラーの改ざんは運転手のコントロールからブレーキをはずした結果となった – そして25mphでの攻撃はジープを完全に倒すのに十分だった。

デュオは2014年のジープチェロキーに対する攻撃を実証した後、2015年に注目を集めた。研究者は、Uconnectインフォテインメントダッシュボードシステムの脆弱性を悪用し、ブレーキの操作、フロントガラスのワイパーの切り替え、エンジンの電源オフなど、車両を遠隔操作することができました。

この攻撃は、2015年のUconnect攻撃ほど深刻ではありませんが、ジープと物理的に接続してすぐにリモートで起動することはできないため、急増する問題を浮き彫りにしています。

自動車メーカーはスタイリッシュでパワフルなクルマづくりの専門知識を持っているかもしれませんが、ITセキュリティに関しては外部からの支援が必要です。あなたが損害を受けた場合に怪我や死者を引き起こす可能性のある製品を消費者に提供しているときには、セキュリティを後から考慮することはできません。

この攻撃に使用されているテクニックを詳述した論文は、Black Hat USAで発表される予定です。 MillerとValasekは、攻撃を検出する侵入防止システムを作りましたが、自動車メーカーは、CANバスがインストールされている場合、セキュリティを強化し、締め付けを開始することを推奨しています。

ウェブサイトへの声明で、Fiat Chrysler Automobiles(FCA)は言った

さらに、FCAは、この攻撃の実施には「広範な技術的知識」が必要であり、自発的リコールの一環として、2015年攻撃に存在するセキュリティ欠陥が修正されているべきであると強調した。

ブラックハット2016

この小さな$ 6ガジェットは、あなたがホテルの部屋に侵入することを可能にする;マイクロソフトでは、ハッカーがあなたのユーザー名とパスワードを盗むことができるWindowsの欠陥を修正することはありません;暗号化のトランスクリプトは今や「試して信頼された」攻撃者のビジネスモデル; ;ハッカーが危険なリンクを「事実上誰にでも」クリックさせる方法; Samsung Payの欠陥により、ハッカーは無線でクレジットカードを盗むことができる; Quadrooterの欠陥により、9億人のAndroidデバイスが危険にさらされる

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

どのような状況下でも、FCAは、いかなる場合でも、個人が車両システムへの不正および不正アクセスを潜在的に奨励するか、または可能にする「方法に関する情報」を開示することを黙認または信じていない」と同社は述べている。公共の安全の向上を追求する上で、実際には公衆の安全を脅かさないことを慎重に主張している。

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ChromeがHTTP接続に安全でないとラベル付けを開始する

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

Hyperledgerプロジェクトはギャングバスターのように成長しています