MirrorLink ved Connected Car Consortium er den første industri standard for tilslutning af smartphones til i køretøjet infotainment-systemer (IVI). En nylig omfattende forskning, titlen 'En Security Analysis af et In Vehicle Infotainment og App Platform og udført af Damon McCoy, en assisterende professor ved New York University Tandon School of Engineering og en gruppe studerende på George Mason University, beskrevne svagheder i MirrorLink.
Forskere Find Sårbarheder i MirrorLink
Sårbarhederne kan give en hacker adgang til et køretøj gennem en smartphone. Dette kan gøres, selv når MirrorLink er deaktiveret. Resultaterne af forskningen blev præsenteret på det 10. USENIX Workshop om Stødende Technologies (WOOT '16) i Austin, Texas.
Forskningen selv menes at være den første omfattende empiriske sikkerhed analyse af en smartphone til moderne IVI app protokol inkluderet i mindst én 2015 model køretøj fra en stor bilproducent.
Denne IVI-systemet omfatter vestigial støtte til MirrorLink protokol. Selvom denne protokol er som standard deaktiveret, det kan aktiveres ved at ændre en enkelt konfiguration værdi efter en offentligt tilgængelig firmware opdatering, der er forsvarligt underskrevet af producenten.
Nogle bilproducenter vælger at deaktivere MirrorLink og bruge en anden smartphone-til-IVI standarden. Men, Forskerne fandt, at MirrorLink er let at gøre det muligt. Når det er låst op, angriber kunne bruge en linket smartphone og overtage komponenter afgørende for sikkerheden, såsom bilens ABS-bremser. Den værste del er, at tunere, personer eller virksomheder, der tilpasse biler, kan uforvarende hjælpe dårlige hackere ved at frigøre usikre funktioner.
McCoy især sagt, at tunere vil udrydde rundt for sådanne prototyper og faktisk ville låse sårbare systemer. Endvidere, instruktioner om, hvordan at låse MirrorLink kan findes selv på YouTube! En sådan instruktionsvideo er blevet set mere end 60,000 gange! Interessant, forskerne selv brugt en sådan offentlig information at låse MirrorLink på en test køretøj, de købte fra eBay.
Det automaker og leverandør nægtede at frigive en sikkerhedsopdatering. Med hensyn til hvorfor, de understregede, at de aldrig aktiveret MirrorLink i første omgang. McCoy advarer om, at dette er en dårlig nyhed for bilister, der gør det muligt MirrorLink.