Svojho času sme písali, že hekeri získali prístup k autu cez nedostatočne chránený senzor na kontrolu tlaku v pneumatikách a správy o tom, ako zneužili diaľkové ovládanie, respektíve komunikáciu medzi autom a smartfónovou aplikáciou sa objavujú čoraz častejšie. Faktom je, že internet vecí rastie obrovským tempom a v tomto roku by do celosvetovej siete malo byť pripojených približne 17 miliárd rozličných zariadení.
A ich bezpečnosť je ešte stále do veľkej miery podceňovaná. Obavy z toho majú všetci. Napríklad aktuálna štúdia Allianz Risk Barometer uvádza, že v roku 2024 budú kyberútoky najväčšou hrozbou pre spoločnosti na celom svete. Až za nimi skončili zmeny v legislatíve, makroekonomický vývoj alebo prírodné katastrofy. Rebríček najväčších hrozieb pre firmy pritom nezostavili analytici „od stola“ – vznikol na základe odpovedí samotných manažérov, ktorým bol zaslaný dotazník.
Čítajte viac Certifikát alebo ‘mastná‘ pokuta: Únia zavádza povinnú ochranu áut proti hekerom
Svoje o tom vedia aj v renomovanej spoločnosti Bosch, presnejšie v spoločnosti Bosch Rexroth, dcérskej firme známeho nemeckého gigantu. Spoločnosť Nozomi Networks totiž našla slabé miesto v softvéri momentového kľúča Bosch Rexroth s modelovým označením NXA015S-36V-B. Ten má vlastný displej, ktorý pracovníkom zobrazuje výsledok vykonanej operácie a je tiež schopný dáta o nej zaslať cez wi-fi do podnikového intranetu. Hekeri ho dokážu na diaľku ovládnuť a spôsobiť tak doslova katastrofu.
Test: Nová Toyota Prius očarí nielen vzhľadomNa prvý pohľad to môže vyzerať, že „varíme z vody“ a nafukujeme malichernosť do extrému, ale nie je to tak. Tento ručný momentový kľúč je totiž certifikovaný v automobilovom priemysle pre úlohy kritické z hľadiska bezpečnosti a používa sa vo veľkom na automobilových výrobných linkách nielen v nemeckých fabrikách. Útočník pritom dokáže bez vedomia obsluhy spôsobiť, že niektoré dôležité komponenty v autách budú nedotiahnuté a môžu sa časom uvoľniť, alebo naopak – budú dotiahnuté extrémne, čo taktiež povedie k ich poškodeniu. Z pohľadu obsluhy bude pritom všetko v absolútnom poriadku a ani následná kontrola nič neodhalí. Aké fatálne následky môže mať takéto zneužitie momentového kľúča hekermi na tisícoch nových áut, je lepšie si ani nedomýšľať.
Nozomi ako príklad uvádza, že tento momentový kľúč je používaný napríklad pri montovaní elektroinštalácií, keď spoje medzi komponentmi cez ktoré prechádza prúd, musia byť optimálne utiahnuté, aby sa zabezpečil nízky odpor. Ak sú uvoľnené, rastie prevádzková teplota, čo môže viesť až k požiaru auta. A to je len jeden z príkladov. Nozomi bližšie technické podrobnosti o zraniteľnosti neuvádza, nakoľko ešte nie je zo strany spoločnosti Bosch opravená a nechce poskytovať útočníkom návod, ako ju zneužiť.
Foto: Nozomi Networks
Nejde totiž len o to, že hekeri dokážu na diaľku ľubovoľne meniť veľkosť uťahovacieho momentu, teda sily, akou budú konkrétne skrutky v aute utiahnuté, ale cez kľúč dokážu priamo preniknúť do riadiaceho softvéru celých výrobných liniek a odstaviť ich, čo by automobilkám mohlo spôsobiť škody, rátané prinajmenšom v desiatkach miliónov. Chyby v operačnom systéme Nexo-OS, slúžiacom na diaľkové ovládanie a nastavovanie kľúča totiž umožňujú hekerom nainštalovať do neho ransomvér a celý ovládací systém výrobných liniek cez neho zašifrovať a požadovať za jeho opätovné sprístupnenie milióny.
Takže to, čo na prvý pohľad môže vyzerať ako úplná banalita, je v skutočnosti problémom, ktorý môže spôsobiť, že do predaja sa dostanú tisíce áut so skrytými vadami, vedúcimi k ich následným poruchám a požiarom priamo ohrozujúcim život posádky, ale dokonca takáto drobnosť dokáže aj zastaviť výrobu v celej automobilke a spôsobiť nedozerné finančné škody. Bosch už pracuje na bezpečnostnej záplate, dostupná by mala byť v najbližších dňoch.
Volkswagen
Škoda
Kia
Hyundai
Nissan
Citroen
Toyota
Suzuki
Honda