¿Son seguros los productos OBD-II "Connected Car" (Automatic Pro, Hum)?

6

Hay una clase emergente de dispositivos de datos de vehículos conocidos como productos "Connected Car". Dos ejemplos son Automatic Pro y Hum, que se conectan al puerto OBD-II de su automóvil y pueden registrar información como la ubicación de uno, o incluso el estado del motor.

El investigador de seguridad de mi sillón está horrorizado por ver un dispositivo informático integrado, como la ECU de un vehículo, prácticamente sin seguridad en su diseño, conectado a Internet. Parece que todo lo que uno tiene que hacer para provocar un accidente grave es poner en peligro el dispositivo y emitir cualquier tipo de comando de "muerte" malintencionada que afecte a cualquier elemento del vehículo controlado por la ECU. Lo que, en la mayoría de los vehículos fabricados desde 1996, es casi todo .

¿Son estos dispositivos realmente seguros de usar? ¿Están los fabricantes tomando en serio el potencial compromiso de estas unidades? En mi evaluación, esto significaría deshabilitar cualquier manera de enviar datos al puerto OBD-II, omitiendo un pin o cualquier otra cosa. Si estos dispositivos no pueden enviar datos físicamente a la computadora del vehículo, me sentiría más seguro de su seguridad (sin el problema obvio de poder espiar su ubicación). ¿Es tal cosa posible incluso dadas las características que tienen?

    
pregunta Mike Nielsen 14.12.2016 - 04:39
fuente

1 respuesta

5
  

¿Son estos dispositivos realmente seguros de usar?

No . Estos dispositivos tienen acceso al "bus CAN de baja velocidad" y en realidad envían mensajes en el CAN-BUS. Cualquier persona que comprometa su dispositivo OBD-II puede enviar mensajes falsos para engañar a diferentes ECU conectadas al bus CAN

  

¿Están los fabricantes tomando en serio el posible compromiso de estas unidades?

Sí, pero hay algunos problemas. Aunque los grandes fabricantes entienden que existe un riesgo potencial para la seguridad, no hay mucho que puedan hacer al respecto, debido a las limitaciones inherentes del protocolo del bus CAN.

Para que implementen la seguridad sin cambiar el protocolo del bus CAN, la forma correcta sería una de las siguientes:

  • Fabrique cada ECU con un AV en la ECU desde el principio (ya lo está haciendo Karamba Security )
  • Tenga otra ECU conectada al bus CAN escuchando y ejecutando DPI (lo hace Argus Sec )
  • Realizar análisis estadísticos sobre el comportamiento del bus CAN y poder diferenciar entre actividad normal y actividad anormal (se realiza mediante Cycuro )

Entonces, probablemente se esté preguntando, ¿por qué no ve nada de esto siendo implantado?

Las empresas de fabricación tienen miedo de insertar nuevos dispositivos en el bus CAN sin las pruebas en masa adecuadas. Para que las pequeñas empresas demuestren que su producto funciona, primero deben probarlo en una cantidad masiva de autos que no está disponible para ellos porque los fabricantes están asustados. Así que es todo un bucle.

Aunque este puede ser el caso, también puede haber una forma de salir de este bucle, ya que compañías como Xee y Carvoyant está proporcionando kits de prueba a los conductores por parte de los desarrolladores. Estos dev-drivers tienen sus datos recolectados y enviados al "servidor" de los desarrolladores, y en este punto los datos se pueden usar fuera de carretera / fuera de la carretera para realizar las pruebas necesarias.

  

¿Es tal cosa posible incluso dadas las características que tienen?

Como mencioné anteriormente, actualmente esto no es posible, debido a la forma en que se configura el protocolo ODB-II.

Conclusión:

Los fabricantes desean adoptar la prevención de la seguridad cibernética, pero el mercado aún no está listo (¡pero más cerca que nunca!) y depende de usted asegurarse de asegurar el entorno OBD-II con su conciencia.

Los vectores de ataque solo crecerán y los ataques pueden comenzar a volverse un poco locos (¿qué hay de que la computadora de un mecánico se comprometa y luego se use para propagar malware a los autos a través del dispositivo OBD-II del mecánico?) y tenemos que esperar Y esperamos lo mejor de los fabricantes.

Puede leer más sobre el bus OBD-II y CAN aquí - Bus CAN y OBD II explicados para Dummies, con ejemplos de cómo funcionan CAN Bus y OBD II

    
respondido por el Bubble Hacker 14.12.2016 - 09:56
fuente

Lea otras preguntas en las etiquetas