Tveimur hökkurum hefur tekist að bjótast þráðlaust inn í tölvukerfi Jeep Cherokee-jeppa af árgerð 2014. Þeir hyggjast opna kóðann sem þeir nota til þess að taka stjórn á tölvukerfi bílsins í næsta mánuði. Tugir slíkra bíla eru skráðir á Íslandi.
Hakkararnir Charlie Miller og Chris Valasek hafa búið til hugbúnað sem getur tekið yfir stjórntæki bílsins þráðlaust í gegnum internetið, gagngert til að sýna fram á að þessi öryggisgalli sé til staðar. Þeir vona að í framhaldinu gái bílaframleiðendur betur að tölvuöryggi bíla sinna.
Tæknitímaritið Wired greinir frá þessari tilraun Miller og Valasek. Forrit þeirra getur tekið stjórnina á hvaða Jeep Cherokee-jeppa af þessari sömu árgerð 2014 sem búinn er samskonar tölvu. Í gegnum forritið er hægt að drepa á vélinni, stjórna blæstri miðstöðvarinnar, hækkað í útvarpinu, birt myndskeið í mælaborðinu, stjórnað hraðanum sem bíllinn ferðast á, skipt um gír og tekið bremsurnar úr sambandi. Allt þetta er hægt að gera í fartölvu hvar sem er í heiminum.
Komist alvöru þrjótur yfir svipaða tækni er auðséð að hægt er að valda töluvert meiri skaða með því að brjótast inn í bíla en að brjóta rúðu. Í myndbandinu hér að neðan má sjá hvernig blaðamaður Wired fær ekkert við ráðið þegar hakkararnir taka stjórnina.
„Þegar maður missir trúna á það að bíllinn fylgi skipunum þínum, þá breytist hugmyndin þín um hvernig bíllinn virkar,“ segir Miller í viðtali við Wired. Í næsta mánuði munu þeir kynna þennan hugbúnað betur á ráðstefnu um veföryggi í Las Vegas. Þegar hefur verið ráðgert að leggja fram frumvarp á Bandaríkjaþingi um tölvuöryggi í bílaiðnaði.
Helstu nýjungar í bílaiðnaði í heiminum í dag eru tölvukyns og miðaðar að því að auka þægindi farþega og bílstjóra með því að gera hlutina sjálfvirkari. Nú þegar eru framleiddir bílar sem bakka sjálfkrafa í bílastæði, sumir bílar finna bílastæðin jafnvel sjálfir. „Frá sjónarhóli hakkara þá er þetta mikill veikleiki,“ segir Miller.
Tæknin sem Chrysler, framleiðandi Jeep Cherokee-jeppana, notar í alla sína internettengdu bíla síðan 2013 heitir Uconnect. Það er í raun tölva sem tengist internetinu og tengir snjallsíma til dæmis þráðlaust við bílinn. Þessi tækni hefur verið til í fleiri tegundum bíla síðan 2008. Þeir Miller og Valasek hafa ekki enn prófað að brjótast inn í aðrar gerðir bíla en þennan jeppa frá 2014 en telja slíkt mögulegt.
Ætla að opna nær allan kóðann
Eftir ráðstefnuna í Las Vegast ætla hakkararnir tveir að gefa tölvukóðann sem býr að baki forritinu sem stjórnar þessum bifreiðum. Um leið munu allir hafa tólin í höndunum til þess að „ræna“ Jeep Cherokee-jeppum frá 2014.
Miller og Valasek ætla hins vegar ekki að gefa kóðann sem endurforritar tölvubúnað jeppana svo fjarstýriforritið virki. Þeir hakkarar sem ætla að ræna bílum yfir internetið þurfa því að skrifa sjálfir þann kóða sem tók tvímenningana marga mánuði að skrifa.
Auk þess hafa tvímenningarnir unnið náið með Chrysler undanfarna mánuði og deilt með þeim gögnum sínum. Fyrirtækið gaf þess vegna út hugbúnaðaruppfærslu fyrir þessa bíla í síðustu viku sem á að „auka rafrænt öryggi“ bílanna. Wired segist hafa yfirlýsingu frá Chrysler undir höndum þar sem tilteknar eru fleiri tegundir bíla sem kunna að búa yfir öryggisgallanum.
Þar eru nefndar árgerðir 2013-2014 af Dodge Ram, árgerðir 2013-2014 af Doge Viper, árgerð 2014 Jeep Cherokee, Jeep Grand Cherokee og Dodge Durango. Miller og Valasek segjast hafa fundið fleiri tegundir sem tengdar eru internetinu og hægt er að bjótast inn í. Miller segist hafa kannað uppfærsluna. „Það lítur út eins og árásir okkar virki ekki lengur en ég mundi ekki leggja líf mitt við.“
Samkvæmt upplýsingum Kjarnans hefur engin melding borist Fíat umboðinu í Reykjavík, sem hafa umboð fyrir umrædda bíla, frá framleiðandanum um öryggisgallann sem Miller og Valasek notfæra sér. Tölvukerfi bílanna séu alltaf uppfærð með nýjustu uppfærslum þegar þeir koma í skoðun, og berast jafnvel margar uppfærslur á dag.
Fíat umboðið hefur selt Jeep Cherokee-jeppa árgerð 2014 og samkvæmt upplýsingum frá Samgöngustofu skipta slíkir bílar á Íslandi tugum. Erfitt er að festa fingur á það hversu margir eru búnir Uconnect-tölvunni. Eigendur slíkra bíla eru hvattir til að slá inn auðkenningarnúmer bílsins hér.
