De siste ukene har det kommet mange rapporter fra sikkerhetsforskere som på ulike vis har greid å fjernstyre funksjonalitet i biler ved å trenge seg inn i informasjons- og underholdningssystemene i disse bilene.
Angrepene har dog vært rettet mot spesifikke systemer som bare utvalgte bilmodeller er utstyrt med.
Les mer: Hackere kan ta kontroll over biler
Utbredt grensesnitt
Forsker fra University of California i San Diego (UCSD) skal, under Usenix-konferansen som arrangeres denne uken, presenterte en angrepsteknikk som potensielt kan brukes på tvers av svært mange bilmerker og –modeller. Teknikken tar ifølge Wired indirekte i bruk OBD-II-grensesnittet som de fleste moderne biler er utstyrt med.
OBD-II er i utgangspunktet ment som et sted hvor bilmekanikere kan koble diagnoseutstyr til bilen datamaskin og lese av feilkoder, motordata og mye annet.
Men også bileierne selv kan koble utstyr til dette grensesnittet – ulike bokser som for eksempel sender sanntids statusinformasjon til eieren smartmobil.
Les enda mer: Nå har enda flere biler har blitt hacket
Mobile Devices
Det er nettopp en slik boks forskerne har utnyttet for å ta kontroll over bilen, i dette tilfellet en Chevrolet Corvette fra 2013. Boksen er av en type som brukes av forsikringsselskaper og transportselskaper for å overvåke blant annet kjøretøyets posisjon og hastighet.
Boksen som forskerne testet ut, er levert av det franske selskapet Mobile Devices. Den benyttes av forsikringsselskapet Metromile, som blant annet har inngått avtaler med Uber.
Også på web: Slik blir bilens webstandarder
Mobilnettet
Den aktuelle boksen kan aksesseres av via mobilnettet, og det er dette forskerne har utnyttet. Ved å sende spesielt utformede tekstmeldinger til boksen, har de kunne ta kontroll over blant annet vindusviskerne og bremsene til Corvetten – men kun ved lave hastigheter.
Boksen, som kalles for Metromile Pulse, gjorde det mulig for forskerne å overføre kommandoer til bilens CAN-bus, et lokalt nettverk som mange av bilens komponenter er knyttet til.
Forskerne sier til Wired at de enkelt kunne tilpasset angrepet til praktisk talt ethvert moderne kjøretøy og ta kontroll over slikt som låser, styring og gir.
Sikker? Denne dingsen til noen hundrelapper gjør den gamle bilen din smart
Sikkerhetsoppdatering
Forskerteamet, som ledes av professor Stefan Savage, skal ha tatt kontakt med Metromile i juni i år. Selskapet har nylig sendt ut en sikkerhetsoppdatering til enhetene. Oppdateringen skal være lagd av Mobile Devices. Også Uber skal ha sendt ut slike oppdateringer.
Men det er også andre aktører som bruker slike enheter fra Mobile Devices, blant annet TomTom Telematics-eide Coordina i Spania. Men TomTom opplyser til Wired at deres analyser viser at problemene skal være knyttet til eldre enheter enn det Coordina benytter, noe også Mobile Devices oppgir.
Wired skriver dog at det er lite sannsynlig at problemene er begrenset til Metromile, Coordina eller til og med Mobile Devices. Også tidligere har det blitt avdekket sårbarheter i OBD2-tilknyttet utstyr.
Også i Norge: Nå skal smarte systemer for alvor inn i norsk transport
Risikovillig?
– Tenk over hva du plugger inn i bilen din. Det er vanskelig for vanlige forbrukere å vite om enheten deres er pålitelig eller ikke, men det er noe de bør bruke noen øyeblikk til å tenke over. Utsetter dette meg for risiko? Er dette greit for meg?, sier Karl Koscher, en av forskerne tilknyttet prosjektet, til Wired.
Mer om forskningen er tilgjengelig i denne forskningsartikkelen. Dette inkluderer teknikker for å finne slike enheter via vanlige søkemotorer, og om hvordan de kan kontaktes via SMS.
Leste du denne? Du har trolig hundrevis av mikrokontrollere uten å vite om det