Volkswagen foi encontrado propenso a vulnerabilidades de hackers carro, Um relatório detalhado Computest revelou recentemente. Os pesquisadores desenterraram que os IVI sistemas (In-Vehicle Infotainment) em alguns modelos da Volkswagen são vulneráveis a hackers remoto. Essas vulnerabilidades também poderia levar ao comprometimento de outros sistemas do carro críticas.
Detalhes técnicos sobre a pesquisa
Mais particularmente, pesquisadores Thijs Alkemade e Daan Keuper descoberto a vulnerabilidade no Golf GTE Volkswagen ea Audi3 Sportback e-tron. A falha pode permitir que hackers para assumir o controle sobre funções críticas em alguns casos. As funções incluem a ativação do microfone do carro ligado e desligado, contando com o microfone para ouvir conversas do condutor, e obter acesso ao histórico de conversas e o livro de endereços do automóvel. Em cima disso, os pesquisadores disseram que os atacantes também pode controlar o carro através do seu sistema de navegação.
Um número crescente de carros possuem uma conexão à internet, e alguns carros ainda têm duas ligações celulares de uma só vez, escreveram os pesquisadores. Esta ligação pode por exemplo ser usado pelo sistema IVI para obter informações, tais como mapas de dados, ou funcionalidades oferta como um navegador de internet ou de um hotspot Wi-Fi ou para dar aos proprietários a capacidade de controlar algumas características através de um aplicativo móvel.
Por seu relatório, os pesquisadores se concentraram especificamente sobre vetores de ataque que podem ser acionados através da Internet e sem interação do usuário. O objetivo que inspirou a pesquisa foi para ver se o comportamento de condução ou outros componentes críticos de segurança no carro poderia ser influenciada. Em outras palavras, os pesquisadores queriam ter acesso ao barramento CAN de alta velocidade, que liga os componentes como os freios, volante e o motor.
A pesquisa começou com um Volkswagen Golf GTE, de 2015, com o aplicativo Car-Net:
Este carro tem um sistema IVI fabricado pela Harman, referida como a plataforma de infotainment modular (MIB). Nosso modelo foi equipado com a versão mais recente (versão 2) desta plataforma, que teve várias melhorias em relação à versão anterior (como o Apple CarPlay). Importante notar é que nosso modelo não tinha uma bandeja separada do cartão SIM. Assumiu-se que a ligação celular utilizado um SIM incorporado, no interior do sistema IVI, mas esta hipótese, mais tarde, vir a ser inválida.
Podemos remotamente comprometer o sistema MIB IVI e de lá enviar mensagens CAN arbitrárias no ônibus IVI CAN. Como um resultado, podemos controlar a tela central, caixas de som, e microfone. Este é um nível de acesso que nenhum atacante deve ser capaz de alcançar.
O próximo passo da pesquisa teria sido a tentativa de assumir o controle sobre os componentes críticos de segurança do carro, tais como sistema de travagem e de aceleração do veículo.
Contudo, após uma avaliação cuidadosa, os dois pesquisadores decidiram interromper a sua neste momento, uma vez que este seria potencialmente comprometer a propriedade intelectual do fabricante e potencialmente quebrar a lei.
Resposta da Volkswagen ao Disclosure Vulnerability
Desde Volkswagen não tem uma política de divulgação responsável destaque em seu site, os pesquisadores relataram as falhas para advogado externo da Volkswagen em julho 2017. Um encontro real com a empresa também ocorreu próximo mês, agosto.
Isto é o que os pesquisadores disse em um comunicado:
Durante o nosso encontro com a Volkswagen, tivemos a impressão de que a vulnerabilidade relatada e, especialmente, a nossa abordagem ainda era desconhecido. Nós entendemos em nossa reunião com Volkswagen que, apesar de ser usado em dezenas de milhões de veículos em todo o mundo, este sistema IVI específica não foi submetido a um teste de segurança formal e a vulnerabilidade ainda era desconhecido para eles. Contudo, em seus comentários para este artigo Volkswagen afirmou que eles já sabiam sobre essa vulnerabilidade.
Volkswagen olhou para as falhas, e disse que não ia publicar uma declaração pública, mas prefiro rever a investigação para verificar as suas declarações. A empresa fez rever o trabalho de pesquisa, ea própria revisão foi concluída em fevereiro, 2018. “Em abril 2018, à direita antes do documento foi lançado para o público, Volkswagen forneceu-nos com uma carta que confirma as vulnerabilidades e menciona que eles foram corrigidos em uma atualização de software para o sistema infotainment. Isso significa que os carros produzidos desde essa atualização não são afetados pelas vulnerabilidades encontramos,” os pesquisadores concluíram.
Finalmente, deve, mais uma vez se notar que os modelos de carros hackeados eram de 2015. Se você por acaso possuir um Audi ou Volkswagen a partir desse ano, você deve entrar em contato com o seu concessionário automóvel para receber informações sobre a atualização de software.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: