¿Son estos dispositivos realmente seguros de usar?
No . Estos dispositivos tienen acceso al "bus CAN de baja velocidad" y en realidad envían mensajes en el CAN-BUS. Cualquier persona que comprometa su dispositivo OBD-II puede enviar mensajes falsos para engañar a diferentes ECU conectadas al bus CAN
¿Están los fabricantes tomando en serio el posible compromiso de estas unidades?
Sí, pero hay algunos problemas. Aunque los grandes fabricantes entienden que existe un riesgo potencial para la seguridad, no hay mucho que puedan hacer al respecto, debido a las limitaciones inherentes del protocolo del bus CAN.
Para que implementen la seguridad sin cambiar el protocolo del bus CAN, la forma correcta sería una de las siguientes:
- Fabrique cada ECU con un AV en la ECU desde el principio (ya lo está haciendo Karamba Security )
- Tenga otra ECU conectada al bus CAN escuchando y ejecutando DPI (lo hace Argus Sec )
- Realizar análisis estadísticos sobre el comportamiento del bus CAN y poder diferenciar entre actividad normal y actividad anormal (se realiza mediante Cycuro )
Entonces, probablemente se esté preguntando, ¿por qué no ve nada de esto siendo implantado?
Las empresas de fabricación tienen miedo de insertar nuevos dispositivos en el bus CAN sin las pruebas en masa adecuadas. Para que las pequeñas empresas demuestren que su producto funciona, primero deben probarlo en una cantidad masiva de autos que no está disponible para ellos porque los fabricantes están asustados. Así que es todo un bucle.
Aunque este puede ser el caso, también puede haber una forma de salir de este bucle, ya que compañías como Xee y Carvoyant está proporcionando kits de prueba a los conductores por parte de los desarrolladores. Estos dev-drivers tienen sus datos recolectados y enviados al "servidor" de los desarrolladores, y en este punto los datos se pueden usar fuera de carretera / fuera de la carretera para realizar las pruebas necesarias.
¿Es tal cosa posible incluso dadas las características que tienen?
Como mencioné anteriormente, actualmente esto no es posible, debido a la forma en que se configura el protocolo ODB-II.
Conclusión:
Los fabricantes desean adoptar la prevención de la seguridad cibernética, pero el mercado aún no está listo (¡pero más cerca que nunca!) y depende de usted asegurarse de asegurar el entorno OBD-II con su conciencia.
Los vectores de ataque solo crecerán y los ataques pueden comenzar a volverse un poco locos (¿qué hay de que la computadora de un mecánico se comprometa y luego se use para propagar malware a los autos a través del dispositivo OBD-II del mecánico?) y tenemos que esperar Y esperamos lo mejor de los fabricantes.
Puede leer más sobre el bus OBD-II y CAN aquí - Bus CAN y OBD II explicados para Dummies, con ejemplos de cómo funcionan CAN Bus y OBD II