19:50
28/7/2015

Wygląda na to, że coraz więcej firm chce się wypromować na popularności jaką zdobył atak Charliego Millera na Jeepa. Badacze z TrendMicro właśnie opublikowali artykuł o atakowaniu samochodów marki Škoda.

skoda

Škoda SmartGate System

Najnowsze samochody koncernu Skoda Auto wyposażone są system SmartGate, który poprzez rozgłaszaną przez siebie sieć Wi-Fi daje możliwość znajdującym się w jej zasięgu osobom (czyli przede wszystkim kierowcy) możliwość odczytywania (nie zapisywania) parametrów samochodu przy pomocy aplikacji mobilnej:

Podgląd odczytów ze Skody

Podgląd odczytów ze Skody

Czy jest się czego obawiać?

W jaki sposób można wykorzystać SmartGate’a do zaszkodzenia właścicielowi samochodu marki Skoda? No to właśnie nie do końca jest jasne… Chociaż oficjalny artykuł Trend Micro stara się podkreślać powagę sytuacji i odkrytego przez badaczy ataku, to w kilku miejscach badacze mocno naciągają zagrożenia. Przykładowo:

“Jeśli atakujący znajdzie się w zasięgu sieci Wi-Fi Skody i złamie jej hasło dostępowe, które jest słabozabezpieczone, to może zmienić ustawienia sieci Wi-Fi i odciąć od niej właściciela auta. Atakujący może czekać u dealera na ofiarę, wiedząc, że właściciel samochodu pojedzie do niego zresetować ustawienia sieci”.

Nie wiemy od czego zacząć… Po pierwsze, sieć Wi-Fi w Skodzie działa tylko przy włączonym zapłonie. Atakujący musi więc znajdować się w pobliżu samochodu, który chce “zaatakować”. Co prawda ataku można dokonać jadąc za kimś… ale co, poza odczytem parametrów samochodu, to da atakującemu? Trend Micro uważa, że największym problemem będzie zmiana ustawień sieci i odcięcie kierowcy od informacji z systemu SmartGate. Zauważmy jednak, że te informacje są wtórne — wszystkie da się odczytać z samochodowych wskaźników… Pomysłu na “zaczajenie się na właściciela samochodu pod drzwiami dealera” nawet nie skomentujemy…

Jackie-Chan-WTF

Dodatkowo, poza naciąganym zagrożeniem, artykuł nie zawiera żadnych szczegółów technicznych. Badacze nie tłumaczą co to znaczy “całkiem słabo zabezpieczona” sieć Wi-Fi.

“All the attacker needs to do is to stay within the SmartGate’s in-car Wi-Fi range, identify the car’s Wi-Fi network, and then break the password, which is secured quite weakly”

Czyżby chodziło o WEP? (Może któryś z czytelników posiadających samochód marki Skoda będzie w stanie nam pomóc w ustaleniu domyślnych parametrów technicznych samochodowej sieci Wi-Fi). Jako jedno z wymagań do przeprowadzenia ataku pojawia się też numer VIN. Może standardowe hasło na nim bazuje?

Badacze wspominają też o Wi-Fi Direct i słabym PIN-ie — może więc “atak” który przeprowadzili polegał na bruteforce lub wykorzystaniu słabości w mechaniźmie WPS?

picard-wtf

Mam Skodę — co robić, jak żyć?

Nie wpadaj w panikę. Podsumowując dziwną publikację TrendMicro, atakowi na Skodę do ataku na Jeepa jest bardzo daleko.

  • Nie da się go przeprowadzić zdalnie, przez internet — trzeba być na miejscu, przy samochodzie i znać jego VIN (to akurat nie jest trudne, bo jest wypisany na podszybiu).
  • Nie da się za jego pomocą wyłaczyć silnika, zablokować hamulców czy sterować kierownicą — można tylko odczytać małoistotne informacje na temat prędkości, temperatur i czasu od ostatniego przeglądu.

Jeśli jednak nie akceptujesz tego, że ktoś może odczytać twoją prędkość i temperaturę silnika, to zawsze jesteś w stanie odłączyć kabel od urządzenia SmartGate. Znajduje się pod siedzeniem kierowcy.

Przeczytaj także:

26 komentarzy

Dodaj komentarz
  1. No ja wlasnie mam skode i gosc w APK (przeglad techniczny w Holandi) polecil mi zaklejenie numeru VIN gdyz podobno na jego podstawie “zli ludzie” moga cos tam zdzialac…

    • Mogą. Mogą np. sprawdzić wyposażenie auta (dzwoniąc na nr serwisu w salonie i podając się za świeżego nabywcę)… i zdecydować o kradzieży.

    • Doskonała rada – naklejka na szybie od zewnątrz (bo od wewnątrz się nie da) to zabezpieczenie najwyższej klasy :-)

  2. Hasło bazujące na nr VIN jest bez sensu, bo numer ten jest wiczny na tzw. podszybiu samochodu – przez przednią szybę i każdy może go odczytać.

  3. Podpowiem wam inny sprytny atak na samochody. Działa niezależnie od marki i sieci wifi. Dojego wykonania nie potrzeba nawet smartfona. A zeby sie zabezpieczyć trzeba używać czołgu. Podkradamy się do samochodu. Zbijamy mu światła. W tym momencie właściiciel prawdopodobnie pojedzie do najbliższego serwisu, a jeżeli samochód jest na gwarancji, do najbliższego ASO. Tam możemy się na niego zaczaić. Czy też będę sławny?

    • Myślę, że posadę w TrendMicro masz jak w banku!

    • Jak w plusbanku.

  4. Pomysł dla policji i itd. Bramownica z aparatem i modułem wifi. Fotka i zdalny odczyt prędkości. Z CEPIKu powiązać VIN z numerem rejestracyjnym. Przynajmniej nie będzie podejrzeń ze to samochód obok albo fala odbita.

    • Szczęście dla jeżdżących autami, w których najbardziej skomplikowanym urządzeniem elektronicznym jest zegarek :D

  5. Prawdopodobnie w module SmartGate jest luka – obstawiam jakieś prymitywne przepełnienie bufora. A jest to urządzenie dołączone do magistrali. Prawdopodobnie można zatem eksploitnąć komputery samochodu podłączone do tej magistrali. Reszty nie muszę tłumaczyć. Być może pentesterzy Trend Micro potrafią zrobić o wiele więcej, ale z racji na pieniądze, którymi dysponuje koncern VAG nie mają odwagi pokazać tego w praktyce ze względu na niedostateczną ochronę prawną w Europie. Gdyby Skoda była sprzedawana w USA, to firma taka jak Trend Micro opublikowałaby o wiele więcej. Zauważcie, że najważniejsze informacje dotyczące bezpieczeństwa pojazdów (immobilizer w Fordach, elektronika Jeepa, problem z podatnością pierwszej serii komputerów Toyoty) opublikowano właśnie w USA.

  6. A ja zapytam głupio: po co kierowcy odczyt czegokolwiek z ekranu telefonu podczas jazdy? Czy to aby bezpieczne?

  7. Co w przypadku, gdy uklad wylawia zestaw informacji z szyny CAN i cala paczke danych wysyla do smartfona, gdzie sa one obrabiane i wyswietlane te, ktore akurat kierowca potrzebuje ?
    Nie musi komunikowac sie z poszczegolnymi urzadzeniami pokladowymi, wiec i potencjalny wektor ataku odpada. Zapewne niewielki arm z paroma KB pamieci i modul wi-fi.

    • Taki układ podłączony z jednej strony do magistrali, a z drugiej do sieci IP można przeprogramować tak, by oprócz odczytu z CAN robił także zapis. Aby tego uniknąć w 100%, musiałby być wstawiony sprzętowy układ, który blokuje komunikację w jedną stronę i którego nie można przeprogramować (w pełni sprzętowy), a tego ze względów finansowych po prostu się nie robi, bo prościej “zablokować” na poziomie software. Jak działa taka blokada software’owa można się zorientować dopiero, gdy ktoś ją przełamie.

  8. Najgorsze jest w tym wszystkim to, że jak takie auto wpadnie w ręce debilowi co będzie chciał prędkość auta odczytać z głupiego telefonu, to może spowodować wypadek.

    • “Bo na telefonie dokładniej widać i mogę naciskać kolorowe prostokąty”.

  9. Nowy Superb ma hasło w wpawpa2-psk, jednak domyślnym hasłem jest numer VIN pisany wielkimi literami :)

  10. “słabo zabezpieczone” (a nie – “słabozabezpieczone”!)
    Tak, tak … Polska język – trudna język :-|

  11. Do szyny CAN dołączane są odbiorniki bezprzewodowych czujników ciśnienia w oponach, które są już obowiązkowe we wszystkich nowo produkowanych w EU samochodach. Czy to nie oznacza ze każdy nowy samochód (niekoniecznie limuzyna z wi-fi) może byc już radiowo hackowany?

  12. […] badacze uzyskali dostęp do API karabinu poprzez domyślne hasło (czy coś wam to przypomina?), jeśli więc posiadacie broń palną wyposażoną w komputer i Wi-Fi, upewnijcie się, że […]

  13. SmartGate to wcale nie wynalazlek skody, SG jest obecny w wielu innych autach Volkswagen Audi Group. Nie wiem dlaczego sie akurat do skody przyczepili ktora dostala Smart Gate ostatnia w ramach pozycji w VAG.

    • Ja tylko się przyczepię. Nie ma czegoś takiego jak volkswagen audi group. Audi to tylko jedna z marek należących do volkswagena.

    • jak skoda. czy jak bentley (jeśli ktoś lubi porównania)

  14. Ciekaw jestem, ile jest kombinacji VIN dla Skody dla konkretnego modelu? Sprawdzenie kilkuset kombinacji w attacku offline na handshake zajmuje sekundę.

    BTW Piotrze proponuję machnąć mail’a do Trend Micro z pytaniem “so what?”. Możemy gdybać, że prawdopodobnie applikacja działa z pełnymi uprawnieniami na szynie CAN i tylko kontrole aplikacyjne nie pozwalają na zapis, ale może jakbyście zapytali to coś by się rozjaśniło.

    Pozdrówki

    • “kilkuset tysięcy” miało być:)

  15. Mam skodę z 2016, mieszkam niedaleko siedziby niebezpiecznika, mogę się zgłosić na pentesty :D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.