Комментарии 45
Оно позиционируется как «опциональное» и стоит $65.
Получается, это не обязательный security patch, а опциональный платный DLC. Хитро задумано...
Это электрический автомобиль для "поколения смартфонов", то есть для той целевой аудитории, которая относительно нормально воспринимает практику выпуска беты, а то и альфы в продакшн, с последующими вялыми патчами в совсем тяжелых случаях (этот таковым не посчитали) и подписками - единоразовый платеж за то, что должны исправить бесплатно по гарантии, тут вообще за невиданную щедрость пойдет.
В это же время в случае факапов у классических автомобилей им объявляют отзыв и принудительно ремонтируют за счет производителя. Клиент дважды доволен: проблему устранили и это главное, а еще производитель показал себя надежным - да, факап это неприятно, но признать и исправить все же лучше, чем отмалчиваться и объяснять, что "вы неправильно его держите".
В Евросоюзе сейчас вступают в силу сертификации Radio Equipment Directive (RED, с августа этого года) и Cyber Resilience Act (CRA, начиная с середины следующего). И одно из требований в том, чтобы в продукте не было на момент выпуска известных уязвимостей и чтобы обновления безопасности устанавливались максимально оперативно (желательно даже отдельно от остальных обновлений). На мой взгляд, такая платная продажа обновлений будет противоречить стандартам. Поэтому, хотя бы для ЕС им придётся устанавливать обновления бесплатно или им запретят продажи.
Если производителю дорога его репутация, он сам об этом позаботится, без всяких принуждений.
Hyundai похоже захватили дэффективные менеджеры, Опомнятся, когда просядут продажи.
"Господин председатель экспертной комиссии, это не обновление системы безопасности, оно не исправляет ошибки - ведь ошибок у нас нет, это улучшение системы безопасности которое добавляет новые функции, а значит оно не попадает требование RED/CRA".
И всё.
Ясно, понятно Hyundai к покупке даже не рассматривать
А вы считаете у других производителей сильно лучше ?
Если брать новые модели которые можно открывать с телефона
Как владелец тупого семилетнего хендая могу сказать что и там уже навалено косяков, в том числе софтовых, ощутимая такая куча. Не думаю что у других производителей ситуация принципиально отличается, просто дырки в других местах.
Схемы шифрования с открытым/закрытым ключом созданы много лет назад.
Но каким-то загадочным образом производители автомобилей ухитряются делать замки, уязвимые к перехвату и воспроизведению сообщений.
Видимо, экономят десять долларов на стоимости чипов в ключе и автомобиле.
Схемы шифрования с открытым/закрытым ключом созданы много лет назад.
И много лет зашифрованное этими схемами успешно читают.
Да ну? Вот вам простой вариант.
Ключ отправляет запрос авторизации.
Замок отправляет случайное значение, зашифрованное закрытым ключом.
Ключ расшифровывает это значение, и отправляет обратно, добавив случайную соль и зашифровав это имеющимся у него парным открытым ключом.
Замок проверяет полученное значение, открывается если верно.
Алгоритм ключей пусть будет старый добрый RSA.
Приведите пример, как перехват всех этих сообщений, и даже возможность заглушить и подменить какое-то из них может помочь совершить успешную атаку.
На практике случаются косяки типа недостаточно рандомной соли, недостаточной длины ключа и т. п. Тут мало общую архитектуру сделать верной, надо ещё все эти детали учесть. И в условиях, что вычислительные ресурсы брелка (даже если машину можно открыть с телефона, у неё скорее всего есть опция открытия с брелка на случай если телефон сел или ещё каких-то причин) и канала связи ограничены (то есть просто взять 100500 битное шифрование нельзя бездумно воткнуть, надо знать оптимум).
вычислительные ресурсы брелка ... и канала связи ограничены
Я понимаю, где-нибудь в 1985 году брелок, умеющий RSA или хотя бы DSA, снабжался тележкой с колёсиками для удобной перевозки. Но сейчас-то, когда SoC размером с монету не только RSA зашифрует, но и результат в твиттер по HTTPS выложит?
недостаточно рандомной соли
Акселерометры и магнитометры, которые сейчас есть в каждом телефоне, в виде отдельных микросхем стоят копейку за пучок
Если брать сами брелки, то у кучи производителей там давно уже шифрование.
Проблема только в том что опять же у кучи производителей добавили возможность открывать/закрывать машину через приложение. То есть злоумышленникам совсем не обязательно ломать шифрование если можно просто в том или ином виде взломать приложение или доступ к нему.
Именно. Брелки-трансмиттеры достаточно надежны сами по себе и, чисто практически, единственная их уязвимость - replay атака. Просто кто-то опять променял безопасность на удобство. Причем насчет удобства у меня вопросы. Нет, понятное дело, приятно летом садиться в машину с уже хотя бы несколько минут как работающим кондиционером, а зимой - с печкой, но чем плох обычный радиоканал, зачем вовлекать сюда джва сотовых устройства (абонентский телефон и модем в машине), сети сотовых операторов и облако, которые даже в мире розовых пони слишком переусложняют систему, а в реальности создают много точек добросовестного отказа и много векторов злонамеренной атаки? Я помню счастливые времена, когда дистанционный запуск осуществлялся сторонними "сигнализациями", что требовало таких странных решений, как обход заводского иммобилайзера (самого по себе довольно надежного в плане затруднения угона), но если это делает сам производитель, да еще и для электрички - автомобиля, которому для работы кондиционера не нужна работа тягового мотора, то слабые места можно не создавать и сделать все весьма надежно, но одновременно удобно. А ответ прост: поколение смартфонов надежного решения не поймет и не оценит, а глючное приложение с глючным облаком и совсем не безглючными сотовыми сетями - поймет и примет как что-то до боли родное. Неудивительно, что те, кому хоть немного за тридцать, тянутся к более традиционным автомобилям.
Просто кто-то опять променял безопасность на удобство.
Ну так одно не обязательно исключает другое.
но чем плох обычный радиоканал
Какой там будет радиус действия у брелка?
Я помню счастливые времена, когда дистанционный запуск
Дистанционный запуск это далеко не единственная "удобная" фича, которую предлагает приложение.
Неудивительно, что те, кому хоть немного за тридцать, тянутся к более традиционным автомобилям.
Мне уже прилично за тридцать и я всё равно считаю что приложение однозначно добавило мне кучу удобства. Жена вроде бы тоже. И как-то если смотрю на своих знакомых, то у них примерно похожая позиция.
То есть естественно можно обойтись и без всего этого. Но будет менее удобно.
Главная уязвимость там не приложение и не работа через смартфон, а автоматическая разблокировка машины при приближении брелка. С помощью тупого ретранслятора сигнала, такие машины угоняются на раз два. Достаточно пары человек без образования и пары аналоговых ретрансляторов на нужную частоту за 10-20 тыс рублей.
Вот именно про это говорят что променяли безопасность на удобство.
зачем вовлекать сюда джва сотовых устройства (абонентский телефон и модем в машине), сети сотовых операторов и облако,
Потому что в машинах уже лет 10 есть телеметрия и сим карта в гетвей или бсм и договоры с операторами связи.
Даже сегодня - не во всех. А если не станет выбора, будем физически удалять хотя бы на уровне отрезания антенны и установки эквивалента, пусть думает, что нет сотовой сети.
И например не пройдёте следующий ТО.
Потому что по закону машина должна быть оснащена каким-нибудь eCall: https://en.wikipedia.org/wiki/ECall
Утечка ключей - чаще всего от "партнеров" - это основной вектор атаки.
Видимо, экономят десять долларов на стоимости чипов в ключе и автомобиле
Не, экономят с десяток миллионов на разработке и сертификации/аудите + еще по двадцатке за чипы на каждый АМ (еще десяток-другой миллионов)
Титановые двери придумали много лет назад.
Но каким-то загадочным образом застройщики, а временами и хозяева квартир умудряются покупать двери из 1-2 мм алюминия, который вскрывается обычным консервным ножем
Видимо экономят 5-10 тыщ.
----
Ну как бы да :) Производители экономят потому что во-первых тот же радиообмен жрет батарейку как не в себя, во-вторых, любая защита это комплекс мер - если ЭБУ/капот в свободном доступе, то шифрование может быть хоть 4096 ключом - толку от этого ноль. И наоборот, если у вас иммо(метка), мех.замок, мех.замок капота, датчики и пр. то шифрование может вообще не быть
тот же радиообмен жрет батарейку как не в себя
А 100500 беспроводных датчиков как-то умудряются годами 24/7 этот радиообмен делать на одной 2032.
Там же не десяток гигабайт передать нужно, а килобайты максимум.
Восемь. У меня есть прибор, который постоянно шлёт телеметрию каждые 5 секунд по радио, у него даже кнопки выкл нету. Батарейку ни разу не менял, но там одна или две 2032.
Ваш прибор только шлет или шлет и получает что-то в ответ? Все же есть разница между слать что-то иногда, а остальное время проводить в гибернации, и все время слушать, не прислали ли тебе что-то в ответ.
Только шлёт. И есть жк-экранчик, который только принимает. И вот он батарейки жрёт как киргиз казы. Наверное потому что экранчик.
Не могу быть абсолютно уверен относительно конкретно вашего прибора, но наверное потому, что сидит в засаде непрерывно ждет сигнал. Косвенные доказательства:
наручные часы, которые ничего ниоткуда не принимают, со своим экранчиком работают годами от ничтожной по емкости батарейки, которой, однако, и на экранчик хватает, и на логику
некоторые приемники, например в бытовых метостанциях, синхронизируют включение на прием со включением передатчика, который они слушают, в результате время работы приемника сокращается на порядок, а в каких-то случаях может и на два; приведенные в пример метеостанции вполне работают год или около того с пары-тройки батарей типа LR3 или LR6
Лет так 15 назад стояла у меня на машине сигнализация Шериф, брелок умел открывать закрывать двери и пищать когда срабатывала сигнализация и показывать какой датчик сработал… жил от батарейки AAA полгода и больше… ещё и с LCD
Современный кейлесс брелок тоже живёт долго от одной батарейки, а он постоянно контролируется на предмет - рядом с машиной он или внутри машины
любая защита это комплекс мер
Понятно, что РЕАЛЬНО КАЧЕСТВЕННО защищённая от угона машина, помимо стандартной противопульной и противоосколочной брони, также снабжена автоматической турелью и лёгким автономным разведдроном )
Ну уж убрать возможность взлома без необходимости трогать машину, буквально вида "нажали на кнопочку 1 пока хозяин открывал машину, в следующий раз нажали на кнопочку 2, сели и уехали" - уже давно возможно и несложно реализуется.
радиообмен жрет батарейку как не в себя
Workaround: ставьте ключ на зарядку, например когда он в замке зажигания. Если ключ разрядится от долгого неиспользования, то придется открыть дверь механически, да, но предусмотреть заряд, достаточный для месяца-двух работы, вполне выглядит посильным в габаритах типичного ключа. Такие, заряжаемые в замке зажигания ключи, вы наверняка видели где-то или в своих автомобилях, так что идея не сказать, что нова.
любая защита это комплекс мер
Именно. Нет ничего, что нельзя сломать - где программно, где механически. Вопрос лишь в том, насколько нерационально сложно это делать. Глупый угонщик обломается о самый бесхитростный механический замок на коробке или что-то подобное, а умный угонщик выберет себе цель попроще. Но если выбрали добыть конкретно вашу машину любой ценой, то ничего не поможет, конечно. Но всяко желательно сокращать возможные вектора атаки, а не наоборот плодить их.
Алюминивые ещё хороши. Застройщики часто стали ставить из прессованного риса, которые просто руками отгибаются. Причём для этого даже качком не нужно быть.
Блин, как будто вернулись в 2010 года зайди туда, сделай то,
"Владельцы Hyundai Ioniq 5 могут проверить, доступно ли им такой апдейт. для этого нужно зайти на сайт автопроизводителя и ввести свой VIN-номер, указанный в документах или в салоне автомобиля. "
Не соглашусь. Это всё же лучший подход к обновлениям, чем если машина тихо ночью обновилась сама и больше не открывается и не заводится, а до ближайшего сервис-центра сотня километров по тайге с медведями.
Само платное обновление безопасности - безусловно, дикое жлобство.
Я не имел в виду что бы автоматом все обновлялось, хотя идея интересная, но удобство обновления из 2000ных, к умным машинам нужен и подход умный
По моему мнению, единственное допустимое обновление - через разъем OBDii, то есть при очевидном физическом подключении в, предположительно, контролируемых условиях. Иначе я вижу два сценария. Добросовестный: обновление "по воздуху" почему-то не встало, автомобиль окирпичился, а вы в жаре без воды и кондиционера, в морозе без печки, в лесу с медведями, черти где за границей или даже просто во дворе собственного дома, но в любом случае никуда больше не едете. Злонамеренный: хакеры или как это сейчас называется находят незакрытую уязвимость и получают тот или иной контроль над казалось бы вашим автомобилем, который могут окирпичить из простого хулиганства, а могут попытаться вас убить, окирпичив автомобиль, когда вы его ведете по оживленной трассе, ведь внезапная потеря управления вполне может закончиться катастрофой с жертвами.
Обновлять бесконтрольно можно было бы лишь "магнитолу", потому что в самом худшем случае она включится с макимальной громкостью, а в менее плохом случае не включится вовсе, но в ситуации "добавляем удобства и кладем на безопасность" получается, что "магнитола" лезет в CAN и, будучи скомпрометированной, может влиять на казалось бы физически изолированную сеть. Да, должен быть шлюз, но у него могут быть свои уязвимости.
Нет, пожалуйста, давайте все оставим как есть - физически изолированный CAN с доступом только через OBDii или иным очевидным способом, и все остальное.
Чуток оффтопа: ioniq 5 или 6 - это те авто, которые сильно врут про пробег. Заявленных 400-500км точно нет. Под боком реальные водители, которые утверждают, что 200 км летом и 150 зимой - это настоящий пробег на одной зарядке. реально бестолковый авто получился.
Hyundai предложила покупателям Ioniq 5 заплатить $65 за обновление системы кибербезопасности