Стало известно о том, что немецкий автопроизводитель Volkswagen (VW) пытался скрыть данные об уязвимостях автомобилей с бесключевым доступом и системой автоматической блокировки двигателя. Еще в 2012 году группа британских и нидерландских ученых подготовила исследование, в котором объяснялось, как хакеры могут взломать такие автомобили. Тогда Volkswagen — а среди автомобилей, которые можно угнать таким образом, довольно много производимых под принадлежащими ему брендами — через суд добился запрета на публикацию документа. Теперь, после долгих переговоров, доклад наконец был опубликован.
Фото: Иван Буранов, Коммерсантъ / купить фото
Согласно опубликованному на днях исследованию, многие автомобили с бесключевым доступом и дистанционной идентификацией довольно легко могут быть украдены хакерами. Исследователи обнаружили уязвимость систем бесключевого доступа, использующихся в разных автомобилях: в работе описывается, каким образом хакеры могут взломать транспондер (устройство, передающее и принимающее сигнал) Megamos Crypto. Такой транспондер используется в устройствах автоматической блокировки двигателя, которые останавливают автомобиль, если на небольшом расстоянии от машины не находится брелок с соответствующим чипом радиочастотной идентификации (RFID). Подобная система призвана предотвращать угоны автомобилей, совершаемые традиционными способами.
Именно транспондер Megamos Crypto установлен во многих автомобилях, в том числе в принадлежащих Volkswagen Audi, Porsche, Bentley и Lamborghini, а также Fiat, Honda, Volvo и Maserati. Исследование было осуществлено учеными из нидерландского Университета Неймегена и британского Бирмингемского университета. Им удалось взломать автомобиль с соответствующей системой дистанционной идентификации. Эта уязвимость была обнаружена исследователями еще в 2012 году, и они послали результаты своей работы производителю RFID-чипов, использующихся в этой системе, а в 2013 году — Volkswagen. Тогда автопроизводитель подал иск в суд с требованием запретить публикацию документа, аргументируя это тем, что это может повысить число угонов. Британский Высокий суд удовлетворил требование Volkswagen. Теперь же после долгих переговоров работа будет представлена на посвященной проблемам кибербезопасности конференции USENIX в Вашингтоне, которая пройдет 14–16 августа. В исследовании было исправлено только одно предложение, где подробно описывались действия, необходимые для взлома.
Как заявил директор Центра по кибербезопасности британского Уорикского университета Тим Уотсон, «это серьезный изъян, его не очень легко быстро исправить. Это не теоретический недостаток, а вполне реальный, и он стоит не теоретических долларов, а настоящих». Для исправления этой уязвимости необходимо поменять RFID-чипы в ключах и транспондерах, установленных внутри автомобиля.
По данным лондонской полиции, 42% всех автомобилей, угнанных в прошлом году, были украдены именно путем взлома системы бесключевого доступа.