Comments 19
Плюс ко всему, уязвимость компания выпустила, но вот устанавливать ее пришлось самим автовладельцам
Ого, не знал, что компании уязвимости выпускают. Спасибо за информацию!
Ну а кто же их выпускает? Производитель выпускает уязвимость ---> Производитель устраняет уязвимость ---> клиент патчит kde2 под FreeBSD ;)
Вот-вот, сидишь ты, счастливый владелец Теслы, дома, читаешь Хабр, тут посыльный: «Компания Тесла выпустила новую уязвимость, распишитесь в получении и имейте в виду, что вам следует установить ее самостоятельно, в соответствии с вашим соглашением с производителем»
И ведь что обидно — не установишь уязвимость сам, так пришлют удаленно патч, и не сможешь выше 5 км/час на своей машине разогнаться!
И ведь что обидно — не установишь уязвимость сам, так пришлют удаленно патч, и не сможешь выше 5 км/час на своей машине разогнаться!
UFO just landed and posted this here
Что, тэг sarcasm отдельно эскейпить надо?
А почему нельзя разделить физически автомобильную часть, которую лишить беспроводной связи, и пользовательскую, которая уже со связью и пр?
А автопилот как будет работать тогда?
<sarcasm>Поставить ему свой gps, а координаты на дискете давать.</sarcasm>
отдельный модуль, который принимает (передает) только данные для автопилота.
Взломали-то за счет развлекательной части
Взломали-то за счет развлекательной части
Не делать зависимость критичных систем авто от Интернета, все должно управляться только изнутри. А обновление ПО только по ключу и запросу владельца (пользователя)
Это возможно, но тогда придётся разрабатывать новый протокол, а под него уже все остальное железо.
Сейчас, например, у обычных авто есть can шина, система не смотрит наружу. Ставим магнитолу, которой нужен доступ к can шине (для банальных вещей хотя бы: температуру выводить, сигналы с парктроника и пр), и если эта магнитола умеет канал наружу и какую нибудь уязвимость, то уязвима окажется вся система.
Сейчас, например, у обычных авто есть can шина, система не смотрит наружу. Ставим магнитолу, которой нужен доступ к can шине (для банальных вещей хотя бы: температуру выводить, сигналы с парктроника и пр), и если эта магнитола умеет канал наружу и какую нибудь уязвимость, то уязвима окажется вся система.
Возможно, причина в том, что автопилот требут доступпа и к сети и к «железу». Либо встроенное удаленное управление.
Я так понял, что они получили возможность посылать в CAN шину произвольные команды. Вообще, очень жаль, что производители автомобилей по умолчанию считаю CAN внутренней шиной, к которой невозможно получит доступ извне. И очень жаль, что все системы авто могут получить к ней доступ, даже если им это и не надо. Возможно стоит сделать для таких устройств только read-only фильтр.
Некоторые так и делают, ставят небольшую железку, которая работает файрволлом между CAN-шиной и мультимедийной частью. Даже в крайслере упомянутом в статье такая была. Они там, на сколько я помню, облажались только в том, что была возможность обновить прошивку этого файрволла со стороны магнитолы.
Вообще в современном IoT очень мало криптографии: протоколы не подразумевают проверки цифровых подписей, прошивки грузятся без валидации отправителя… Почему все повторяют ошибки IT конца прошлого века, но только в новой области...
Например, потому, что криптография — это сложно?
Вообще, делают то много всего, и разные команды. Иногда это стартапы, люди в которых до того делали сайты-визитки. Иногда — железячные фирмы, у которых тоже проблем не возникало — ну кому в голову придёт «взламывать» mp3-плеер? Иногда IoT — это вообще поделки на ардуине/esp, а авторы только учатся код писать, там уж совсем спрашивать глупо.
В целом, они все могли бы сделать всё хорошо, вот только готовых рецептов пока никто не написал. Ну нету пока условного магического слова https в мире IoT.
Кстати, ради интереса посмотрите на то, как заливаются приложения в фиатовских магнитолах с Blue'n'me — там софтовую часть активно помогала делать MS, и подписями всё обмазано густо, всякую левую хрень типа своими руками написанного кода фиг подсунешь.
Вообще, делают то много всего, и разные команды. Иногда это стартапы, люди в которых до того делали сайты-визитки. Иногда — железячные фирмы, у которых тоже проблем не возникало — ну кому в голову придёт «взламывать» mp3-плеер? Иногда IoT — это вообще поделки на ардуине/esp, а авторы только учатся код писать, там уж совсем спрашивать глупо.
В целом, они все могли бы сделать всё хорошо, вот только готовых рецептов пока никто не написал. Ну нету пока условного магического слова https в мире IoT.
Кстати, ради интереса посмотрите на то, как заливаются приложения в фиатовских магнитолах с Blue'n'me — там софтовую часть активно помогала делать MS, и подписями всё обмазано густо, всякую левую хрень типа своими руками написанного кода фиг подсунешь.
Sign up to leave a comment.
Хакеры взломали движущуюся Tesla Model S с 20 километров