Jak se dá hacknout chytré auto?

Jen si to představte. Jedete po dálnici a z ničeho nic v autě klesne teplota. Z ventilátorů na vás naplno začne foukat studený vzduch a ve zmatku se přestanete naplno věnovat řízení. Pak se na čelním skle začnou hýbat stěrače tam a zpět, i když jste je sami nezapnuli. To nejhorší ale přijde záhy. Automatická převodovka se přeřadí na neutrál a váš vůz uprostřed provozu z původních 110 km/h začne rapidně ztrácet rychlost. 

Moderní auta jsou vlastně počítače na kolech. A otázka kyberbezpečnosti se jich týká taky, byť vás to možná předtím nenapadlo. Hackeři totiž už v minulosti dokázali, že nad autem umí získat v podstatě plnou kontrolu. Pojďte si přečíst, jak se jim to povedlo. 

Jak hacknout chytré auto?

Debata o nutnosti zabezpečení moderních automobilů před kyberútoky se vede zhruba od roku 2010. S první velkou kauzou přišel portál Wired o pět let později, když zveřejnil reportáž, ve které hackeři ovládli vůz značky Jeep řízený redaktorem. Scénář byl samozřejmě domluvený, posloužil jako první veřejná ukázka, která otevřela diskuzi.

Etičtí hackeři Charlie Miller a Chris Valasek přitom tehdy ukázali, že kybernetické hrozby jsou pro auta skutečně velké. Při demonstraci možností, které moderní auta hackerům nabízejí, začali zlehka. Nejprve zapnuli klimatizaci na nejvyšší stupeň, pak zastavili auto uprostřed dálnice... a dál? Asi už teď tušíte, že příběh z úvodu článku nebyl ze sci-fi filmu, ale právě z této reportáže. V té pak následně ukázali i to, jak vám hacker pod určitou hranicí rychlosti může ovládat volant – a také zařídit, že přestanou reagovat brzdy. 

Tohle přitom nebyla ta úplně první ukázka, kterou Miller a Valasek přichystali. Už o dva roky dříve ukázali témuž redaktorovi magazínu Wired, jak dovedou ovládnout auto pomocí diagnostického konektoru na jeho palubě. Rozdíl byl tentokrát v tom, že hackeři nemuseli s redaktorem sedět v autě. Vše u Jeepu Cherokee, který se tak stal jakýmsi smutným hrdinou a milníkem na poli kyberbezpečnosti aut, ovládali na dálku. Ke všemu využili online připojení k ovládacímu infotainment panelu vozu. Skrz něj se ovšem dostali i k zásadním funkcím auta, jako je třeba převodovka.

Hacknout jde i Teslu

Jak se rychle ukázalo, hackeři mohou na dálku získat kontrolu nad téměř jakýmkoli online připojeným automobilem. S rostoucím tlakem na snižování emisí a bezpečnost posádky tudíž v posledních letech dramaticky narostlo i množství automobilových počítačových systémů. A aktuální posun mobility k samořiditelným autům jen závislost vozů na výpočetní technice prohlubuje. Totéž platí o elektromobilech, které online řeší i své nabíjení.

Že není proti hackerům v zásadě imunní žádné auto, ukázali rovnou v roce 2015 další bezpečnostní experti. Ti na konferenci DEF CON předvedli, že umí získat plnou kontrolu nad elektromobilem Tesla Model S. Tesla se přitom chlubí tím, že není tradiční automobilka a má v mnoha ohledech jiné postupy. Nicméně v oblasti kyberbezpečnosti mají její auta v podstatě stejné slabiny jako ta ostatní.

Hackeři všech zemí, spojte se! Zní na losangelské akci DEF CON. Jedná se o jednu z největších světových hackerských konferencí, která se koná už od roku 1993. Konference DEF CON je významným přínosem pro kyberbezpečnost tím, že přináší nejnovější poznatky a trendy v oblasti bezpečnosti informačních technologií, umožňuje výměnu zkušeností a nápadů mezi odborníky a podporuje spolupráci v boji proti kybernetickým hrozbám.

Auto bez infotainmentu? Pro hackera žádný problém

Hackeři už také v minulosti několikrát ukázali, že vstupním bodem útoku nemusí být samotný palubní systém auta (neboli infotainment). Existují různá chytrá řešení, která udělají i ze staršího auta inteligentnější stroj nebo třeba umožňují funkce jako vzdálené sledování, odemykání či startování auta. Většinou tahle řešení zajišťují zařízení připojená do diagnostického konektoru se SIM kartou. I takové zařízení se může stát terčem hackerů. A jako vstupní bod poslouží například telefon uživatele a aplikace v něm. 

Jednu z prvních chyb tohoto systému objevili bezpečnostní experti v USA u aplikace OnStar RemoteLink koncernu General Motors. Útočníci se díky chybě v aplikaci mohli vydávat za oprávněného uživatele a auto na dálku odemknout a nastartovat. 

Objevují se ale i závažnější bezpečnostní rizika. Vedle schopnosti hackerů získat určitou kontrolu nad autem existuje i nebezpečí ransomwaru. Hackeři jednoduše mohou za odblokování auta požadovat výkupné. Nicméně ve většině případů je pořád u aut mnohem obvyklejší, že útočníci ke krádeži využijí některou ze starších metod. Třeba zachycení a zneužití signálu z dálkového klíčku vozidla.

Jak se dá proti útokům na chytrá auta bránit?

V kontextu předchozích řádků vás možná na první pohled zarazí, že se do moderních aut neinstaluje antivirový software. Je to ale dané tím, že si sami uživatelé nemohou do vozidla stahovat ani soubory ani aplikace. Pokud máte smartphone spárovaný s vozem, dostatečně silné heslo je základ. Slabá místa, která by hackeři mohli prolomit, musí ohlídat a zazáplatovat samotné automobilky pomocí aktualizovaného softwaru.

Information Security Manager ze společnosti Škoda Auto Tomáš Trávníček přibližuje, že u nových vozů se majitelé nemusí o nic starat. "K aktualizacím dochází průběžně dle potřeby a v řadě případů již probíhají vzduchem." uvedl Trávníček. Aktuálnost systémů starších vozů musí naopak kontrolovat majitelé sami.

Část odpovědnosti je na majitelích vozů, kteří by pravidelně měli kontrolovat, zda jsou systémy jejich automobilu aktuální. Je to vlastně stejné jako s mobilními telefony.

Tomáš Trávníček
Information Security Manager at ŠKODA AUTO a.s.

Hackerských útoků na auta sice zatím není tolik a alespoň navenek se zdá, že jde o marginální riziko. To ale není tak úplně pravda. Hackování chytrých aut může být potenciálně velmi nebezpečné, ale zároveň je to i příležitost pro výrobce automobilů, aby svá vozidla ještě více zabezpečili a vylepšili. Díky neustálému vývoji technologií a výzkumu bezpečnosti je pravděpodobné, že se situace v budoucnu zlepší a hackeři budou mít méně prostoru pro útoky. Výraznou práci v tomto ohledu zatím odvádějí etičtí hackeři, kteří s automobilkami a celým odvětvím spolupracují na zabezpečení aut. 

Hackeři na správné straně síly

O práci etických hackerů, slabých místech většiny českých firem i placení výkupného při ransomware útocích jsme si v podcastu povídali se Cyber Rangers

Co si z článku odnést?

• Nejen moderní auta s online připojením jsou náchylná ke kybernetickým útokům.
• Hackeři mohou získat až plnou kontrolu nad vozem.
• Do aut lze proniknout i skrz mobilní aplikace pro jejich vzdálenou kontrolu.
• Prozatím jsou útoky na auta jen minimálním rizikem, hackeři se věnují snazším oblastem.
• Určité „hackerské“ schopnosti spíš využívají zloději aut.
• Automobilky se musí řídit směrnicemi o kybernetickém zabezpečení aut.

Barbora Nováková
Marketingový specialista pro B2B