차 해킹의 다음 개척 | 더그 뉴콤

최근 한 건의 문서화 된 사건 (5 년 전 내부 작업)이 있었지만 자동차 해킹으로 인해 최근 많은 헤드 라인이 등장했습니다.

가장 최근의 자동차 해킹은 범죄자가 아니라 IT 보안 연구원이 지난 몇 주 동안 고속도로를 내리는 동안 지프의 중요한 제어 장치에 액세스하는 방법을 보여준 GM의 OnStar 원격 앱으로 자동차 문을 열었습니다. 그리고 원격으로 엔진을 시동하고 Tesla Model S의 엔진을 차단합니다.이 해킹 작업으로 자동차 제조업체의 커넥 티드 카 노력이 주목을 받고 선출 된 공무원과 소송의 대상이되었습니다.

이제 OBD-II 동글이라고도하는 차량의 온보드 진단 포트 II에 연결된 애프터 마켓 커넥 티드 카 장치가 주목을 받고 있습니다. 이 장치는 몇 년 동안 사용되어 왔으며 1996 년 이후 ODB-II 포트로 제조 된 차량 소유자는 연결성을 추가 할 수있었습니다. 대형 자동차 보험사부터 운전 스타일 및 연비 모니터링에서 10 대 후반에 이르는 십대 추적에 이르기까지 모든 회사를위한 회사에서 제공합니다.

코르벳 브레이크 절단

이번 주 보안 회의를 앞두고 샌디에고 (UCSD)의 캘리포니아 대학 (University of California)의 연구원들은 최신 모델 Corvette에 연결된 OBD-II 동글에 무선으로 해킹 할 수있는 방법을 공개했습니다. 그들은 자동차의 앞 유리 와이퍼를 켜고 브레이크를 끊는 장치로 SMS 메시지를 보냈습니다. 연구원들은 브레이크 해킹은 차량 설계 방식으로 인해 저속에서만 수행 될 수 있다고 언급했지만, 조향이나 변속기와 같은 중요한 구성 요소를 인수하기 위해 거의 모든 현대 차량에 공격을 쉽게 적용 할 수 있다고 덧붙였다.

UCSD의 컴퓨터 보안 교수 인 Stefan Savage는“우리는이 중 일부를 획득하고 리버스 엔지니어링을 수행 한 결과 보안 결함이 많다는 사실을 발견했습니다. 동글은 "원격으로 연결된 차량의 모든 것을 원격으로 제어 할 수있는 여러 가지 방법을 제공한다"고 덧붙였다.

해킹 된 OBD-II 동글은 프랑스 회사 인 Mobile Devices가 만들었지 만 샌프란시스코 기반 자동차 보험 신생 기업인 Metromile에서 배포합니다. 무료로 셀룰러 연결 OBD-II 동글을 무료로 제공하여 고객에게 마일을 청구합니다 중심의.

UCSD 연구원들은 6 월에 Metromile에 동글의 취약점을 알리고이 회사는 무선으로 장치에 보안 패치를 보냈다고 밝혔다. Metromile CEO 인 Dan Preston은 Wired 와의 인터뷰에서 "우리가 알게 되 자마자 매우 진지하게 받아 들였다"고 말했다.

여전히 Metromile에서 보안 패치를 발송 한 후에도 수천 개의 동글을 볼 수 있었고 여전히 해킹 할 수있었습니다. 주로 스페인 함대 관리 회사 인 Coordina가 사용했기 때문입니다. Coordina는 모회사 TomTom Telematics의 성명에서 연구원의 공격을 조사한 결과 회사가 사용하는 이전 버전의 동글에만 적용된다고 밝혔다. 현재 해당 장치의 "제한된 수"를 교체하는 중입니다.

이 회사는 또한 장치의 SIM 카드에 할당 된 전화 번호는 공개되지 않으며 UCSD 연구원의 공격에서와 같이 문자 메시지를 통해 연락 할 수 없다고 언급했습니다. 그러나 연구원들은 SIM 카드의 전화 번호를 모르더라도 동글은 문자 메시지를 전송하여 무차별 대입 공격을 받기 쉽다고 반박했다.

최근 생산 차량의 해킹이 차량에 원격으로 접근하거나 물리적으로 접근하는 데 몇 달이 걸렸지 만 클라우드로 연결된 OBD-II 동글의 보안 취약점은 몇 달 동안 알려져 왔으며 해킹하기가 훨씬 쉬운 것으로 보입니다. 그리고 문제는 모바일 장치 제품에만 국한되지 않습니다. 1 월, 보안 연구원 Corey Thuen은 Progressive의 Snapshot 장치를 해킹 할 수 있었고, 사이버 보안 회사 Argus의 연구원은 Zubie OBD-II 장치의 보안 결함을 발견했습니다.

연구원들은 잠재적 해킹이 테스트에 사용 된 코르벳에만 국한되지 않으며, 모바일 장치 동글이 대시에 꽂혀있는 현대 자동차의 스티어링 또는 브레이크를 납치 할 수 있다고 지적했다. UCSD 연구원 칼 코셔 (Karl Koscher)는“이 차량 만이 취약한 것은 아니다.

자동차 제조업체의 커넥 티드 카와 마찬가지로 OBD-II 동글이 장착 된 차량에 대한 문서화 된 악의적 인 해킹은 아직 없습니다. 그러나 연구원들은 위협이 실제라고 믿고 생산 차량의 연결과 달리 애프터 마켓 장치에 대한 정부의 감독은 없다고 지적합니다.

Savage는“우리는 이미 시장에 나와있는 많은 것들을 보유하고 있습니다. "우리는 완전한 원격 익스플로잇을 보았고 이러한 것들이 어떤 식 으로든 규제되지 않고 그 사용이 증가하고 있음을 알게되었습니다. 나는 다른 곳에서 문제가있을 것이라는 공정한 평가라고 생각합니다."

코셔는 "차에 꽂는 것에 대해 두 번 생각한다"고 경고했다. "일반 소비자가 자신의 기기가 신뢰할 수 있는지 아닌지를 알기는 어렵지만, 그들이 생각해야 할 순간입니다. 이것이 더 위험에 노출됩니까?"

커넥 티드 소비자들이 수년간 요구해 온 질문이며, OBD-II 동글을 통해 자동차를 클라우드에 연결하려는 운전자들도 이제 물어야합니다.