Перед тем как перейдем к самой статье расскажу такой вот случай.
Мой друг купил новый БМВ. Любит погонять — гонял. Когда на одометре было 8000км позвонил официальный дилер и сообщил, что колодки стерлись — пора менять.

Статья про то как амереканский журналист из Forbs и двое специалистов по безопасности из Twitter и IOActive тестировали Ford Escape и Toyta Prius (добавлено по просьбам в комментариях). Статья от первого лица от журналиста — Andy Greenberg.

Машина

Прошлым летом я купил Hyundai Ioniq SEL 2021 года. Это хороший экономящий топливо гибрид с приличным набором функций: беспроводные Android Auto/Apple CarPlay, беспроводная зарядка для телефона, сиденья с подогревом и люк в крыше.

Особенно мне понравилась в этой машине система In-Vehicle Infotainment (IVI). Как я говорил ранее, у машины есть беспроводное Android Auto, что довольно редко для такого ценового диапазона. Приложение имеет красивые плавные анимации меню, поэтому я понял, что ЦП/GPU не такие уж и слабые; или, по крайней мере, ПО ест не слишком много ресурсов.

Как и со всеми остальными моими гаджетами, я решил немного поэкспериментировать и посмотреть, что можно сделать с этой системой.

Если вы не читали первую часть статьи, то сделайте это.

Часть 2: создаём бэкдор

Хватит ждать

28 апреля 2022 года выпустили новые версии обновлений прошивок Display Audio для автомобилей Hyundai и Kia. К счастью, в том числе и для моей машины.


Я сразу же принялся за разработку собственного обновления прошивки с бэкдором.

В автомобилестроении примерно шесть лет назад всерьез взялись за кибербезопасность, начали инвестировать в проектирование и развертывание киберзащитных решений. Сегодня в автомобильной индустрии кибербезопасность обеспечивается как аппаратными, так и программными решениями, но предстоит долгий путь, прежде чем все до одного ECU (электронные блоки управления) в машине будут защищены от активизирующихся кибератак. 

Кибербезопасность в автомобилестроении гораздо сложнее, чем на смартфонах и ПК, по двум основным причинам: 

1. Десятки ЭБУ в каждой машине, соединенные множеством электронных шин и отвечающих за различные скорости и характеристики, и 
2. Множество потенциальных точек доступа, как расположенных внутри автомобиля, так и удаленных, в частности, OBDII, USB и SD-порты, бесключевой доступ, Bluetooth и Wi-Fi, встроенный модем, датчики, инфотейнмент или приложения для смартфонов, а также множество подключений с применением телематики и других облачных систем, имеющих доступ к системам автомобиля.

Повод для оптимизма – в том, что в области автомобильной кибербезопасности все больше делается для оснащения автомобиля собственным аппаратным и программным обеспечением, а также для развития облачных платформ, обеспечивающих кибербезопасность. Формируется несколько стандартов и регламентов, регулирующих кибербезопасность, что дополнительно способствует развертыванию киберзащитных решений во всех подключенных автомобилях. 

В следующей таблице обобщены аспекты кибербезопасности, затронутые в этой авторской колонке. Дополнительная информация будет изложена в другой авторской колонке на эту тему.