Slovenski raziskovalec odkril možnost vdora v Mercedesov avtomobilski računalnik

Matej Zwitter, Maja Čakarić

– 

Primož Cigoj, raziskovalec na inštitutu Jožefa Stefana, je odkril ranljivost v programski opremi mercedesa, ki bi lahko napadalcu omogočila dostop do osebnih podatkov lastnika avtomobila in spreminjanje nekaterih nastavitev. Ni jasno, koliko vozil je bilo prizadetih in ali so vsem kupcem namestili varnostno posodobitev, saj proizvajalec tega ne razkriva.

Ranljivost bi napadalcu omogočala neomejen dostop do avtomobilskega računalnika. Foto: Unsplash

Ranljivost bi napadalcu omogočala neomejen dostop do avtomobilskega računalnika. Foto: Unsplash

Spomladi 2019 je Primož Cigoj, raziskovalec informacijske varnosti na inštitutu Jožefa Stefana, veliko prostega časa preživel v avtomobilu, parkiranem pred hišo. Brskal je po menijih avtomobilskega računalnika in na pomnilniško kartico izvažal datoteke. Iskal je način, kako bi zamenjal logotip, ki ga računalnik ob zagonu avtomobila prikaže na zaslonu. Pri tem je bil bolj uspešen, kot je načrtoval. 

Vzpostavil je povezavo med svojim osebnim računalnikom in računalnikom v Mercedesovem karavanu razreda C, ki mu je omogočala dostop do vseh podatkov v avtomobilu. Tako je lahko med drugim nadziral glasnost radia, uravnaval prezračevanje, prikazoval poljubno vsebino na zaslonu, izdelal kopijo telefonskega imenika, dostopal do zgodovine klicev in sledil lokaciji avtomobila.

Toda prav lahko bi po sistemu njegovega avtomobila brskal neznanec in mu v računalnik namestil zlonamerno kodo.

O možnosti vdora v avtomobil je obvestil proizvajalca, Mercedes-Benz, in ta je s posodobitvijo programske opreme ranljivost na njegovem vozilu odpravil. Ni pa jasno, ali so programsko posodobitev zagotovili vsem kupcem ranljivih avtomobilov, saj družba o tem ne daje pojasnil. 

Dostop do nastavitev voznih lastnosti

Cigoj, ki bo ranljivost konec meseca predstavil na konferenci o informacijski varnosti Infosek, je za Oštro pojasnil postopek vdora v avtomobilski računalnik. Napisal je program, ki mu je omogočal, da je s povezavo na brezžično omrežje avtomobila lahko prek svojega prenosnika upravljal avtomobilski računalnik. Za vzpostavitev povezave je potreboval fizični dostop do notranjosti avtomobila, saj je moral program zagnati z USB-ključka ali pomnilniške kartice.

Povrhu je njegov avtomobil povezan na mobilno omrežje, prek katerega se da v mobilni aplikaciji denimo vključiti hlajenje notranjosti, preden se odpravimo na pot, ali na daljavo preveriti, ali je vozilo zaklenjeno.

Cigoj sicer povezave, s katero bi lahko avtomobil upravljal na daljavo prek mobilnega omrežja, ni nikoli vzpostavil. Toda prepričan je, da bi jo lahko. Ranljivost mu je namreč omogočala neomejen dostop (»root access«) do avtomobilskega računalnika. 

»To je računalnik, ki ima dostop do interneta. Nanj bi lahko naložil program, ki bi avtomobil ob zagonu povezal na moj osebni računalnik,« je pojasnil Cigoj. »Če lahko tak dostop vzpostavim na svojem osebnem računalniku, ga lahko tudi na avtomobilskem,« je dodal.

Ob tem je poudaril, da bi moral morebitni napadalec vsaj enkrat dostopati do vozila, da bi lahko v njem z USB-ključka ali pomnilniške kartice namestil zlonamerni program.

Ranljivost je Cigoju omogočala tudi dostop do nekaterih nastavitev, ki vplivajo na obnašanje avtomobila na cesti. Vir: Primož Cigoj

Ranljivost je Cigoju omogočala tudi dostop do nekaterih nastavitev, ki vplivajo na obnašanje avtomobila na cesti. Vir: Primož Cigoj

Cigoj iz previdnosti ni nikoli poskušal spreminjati voznih nastavitev. Poleg upravljanja sistemov za udobje in zabavo, kot sta prezračevanje in radio, mu je namreč ranljivost omogočala tudi dostop do nekaterih nastavitev, ki vplivajo na obnašanje avtomobila na cesti. 

V enem izmed menijev bi denimo lahko spreminjal višino podvozja in preklapljal med načini vožnje, na primer med športnim in udobnim načinom. Isti meni mu je omogočal nastavitev »faktorja povečanja zavornega navora«. 

Ni sicer povsem jasno, kako ta nastavitev vpliva na obnašanje vozila. Predstavniki pooblaščenih servisov, ki smo jih poklicali, z nami bodisi niso hoteli govoriti, ko smo jim predstavili, za kaj gre, bodisi nam tega niso znali pojasniti.

V znanstvenih člankih in patentih je »povečanje zavornega navora« opisano kot razmerje med pritiskom zavorne tekočine na zavorno čeljust in navorom na zavornem disku. Spreminjanje te nastavitve bi tako lahko vplivalo na odzivnost zavore.

 

Število potencialno ranljivih vozil neznano

Koliko Mercedesovih avtomobilov je imelo v programski opremi ranljivost, ki bi napadalcu lahko omogočala vdor v avtomobilski računalnik, ni znano, saj družba o tem ne daje odgovorov. Po evidenci registriranih vozil je bilo konec junija letos v Sloveniji registriranih 166 vozil z isto homologacijsko oznako, kot jo ima Cigojev karavan razreda C iz leta 2015. 

Vseh Mercedesovih vozil istega letnika je bilo po podatkih, ki so nam jih posredovali iz zastopstva Mercedez-Benza v Sloveniji, 2238. Na naše poizvedovanje, ali so bili prizadeti tudi avtomobili drugih modelov in letnikov, se niso odzvali.

Prav tako so se v molk zavili v podjetju Blackberry, ki je razvilo operacijski sistem QNX, na katerem temelji programska oprema Cigojevega avtomobila. Blackberry sicer na svojem spletnem mestu navaja, da je njihov operacijski sistem vgrajen v 175 milijonov avtomobilov trinajstih blagovnih znamk. Kateri modeli uporabljajo njihov operacijski sistem in katero verzijo sistema, v podjetju niso pojasnili.


 

Mercedes-Benz skop z odgovori

Cigoj je o ranljivosti novembra 2019 obvestil Mercedes-Benz. Način vdora v računalniški sistem avtomobila razreda C je po videopovezavi predstavil njihovim inženirjem, ti so nato februarja letos pripravili posodobitev programske opreme.

Kot je za Oštro pojasnil Cigoj, je Mercedesova posodobitev varnostnega sistema njegovega vozila onemogočila ponoven zagon zlonamernega programa s pomnilniške kartice ali USB-ključka, ni pa prepisala nastavitev, ki jih je spremenil pred posodobitvijo. Do nekaterih ima še vedno dostop, med njimi tudi do spreminjanja »faktorja povečanja zavornega navora«. Če bi morebitni napadalec v nekem Mercedesovem vozilu, ki ima nameščeno enako programsko opremo, že pred posodobitvijo nepooblaščeno dostopal do avtomobilskega računalnika, bi do njega lahko dostopal tudi po njej. 

V službi za odnose z javnostmi matične družbe Mercedes-Benz v Nemčiji so za Oštro potrdili, da so bili s Cigojem v stiku, in dodali, da cenijo njegovo delo in sodelovanje z raziskovalci po svetu: »Njegovo raziskavo smo analizirali in sprejeli vse potrebne ukrepe, da smo zagotovili, da so naše stranke varne.« Pojasnili so, da zaradi zagotavljanja varnosti njihovih kupcev in proizvodov medijem ne morejo posredovati podrobnih tehničnih informacij.

Primož Cigoj je o ranljivosti novembra 2019 obvestil Mercedes-Benz. Foto: Primož Cigoj

Primož Cigoj je o ranljivosti novembra 2019 obvestil Mercedes-Benz. Foto: Primož Cigoj

Iz odgovorov predstavnikov proizvajalca tako ni nedvoumno jasno, ali so posodobitev programske opreme namestili vsem lastnikom prizadetih vozil ali ne. Cigoj je namreč za posodobitev moral obiskati pooblaščeni servis. Predstavniki pooblaščenih servisov nam niso bili pripravljeni uradno pojasniti, ali je v Mercedesovih avtomobilih mogoča tudi posodobitev na daljavo, prek mobilnega omrežja. Neuradno pa smo izvedeli, da v Sloveniji posodobitve avtomobilskega operacijskega sistema na daljavo niso mogoče.

V javno dostopnih bazah podatkov, denimo v evropskem sistemu obveščanja o nevarnih neživilskih proizvodih Safety Gate, ni obvestila o vpoklicu mercedesov razreda C zaradi ranljivosti v programski opremi. Prav tako na spletu nismo našli drugih obvestil kupcem o ranljivosti, ki jo je odkril Cigoj, ali poziva lastnikom njegovega tipa vozila, naj obiščejo servis.

Na dodatna vprašanja, ali so kupce obvestili o ranljivosti, kako so zagotovili, da je posodobitev dosegla vse kupce, in koliko vozil so posodobili, v Mercedes-Benzu niso odgovorili.

Za odziv smo prosili tudi ameriško podjetje Blackberry, ki razvija operacijski sistem QNX, nameščen v mercedesih karavanih razreda C iz leta 2015. Ali jih avtomobilski proizvajalci obveščajo o varnostnih tveganjih in drugih napakah, ki jih potrdijo, niso pojasnili.

Obveščanje potrošnikov le zaradi »hujše nevarnosti«

Varnost vozil na evropskem trgu ureja zakonodaja EU, so za Oštro pojasnili na agenciji za varnost prometa. Nacionalni homologacijski organi v postopku homologacije zagotavljajo, da so na trgu varna vozila, ki ustrezajo vsem veljavnim predpisom in standardom. Homologacija v eni državi članici omogoča prodajo in registracijo vozil v celotni Evropski uniji.

V Sloveniji je za homologacijo vozil pristojna agencija za varnost prometa. Kot pa smo izvedeli na agenciji, niso izdali še nobene evropske homologacije za celotno vozilo, zato tudi nimajo informacij o tem, kako proizvajalci zagotavljajo varnost avtomobilskih računalniških sistemov pred kibernetskimi grožnjami.

Pojasnili so še, da mora proizvajalec avtomobilov o vsaki napaki, ki pomeni resno nevarnost, obvestiti tisti nacionalni homologacijski organ, ki je podelil homologacijo za ta tip vozila. Prav tako mora predlagati ukrepe, s katerimi bo napako odpravil. Tržni inšpektorat o taki napaki objavi obvestilo v evropskem sistemu za obveščanje o nevarnih neživilskih proizvodih Safety Gate.

Na nemški homologacijski organ smo pred objavo članka naslovili vprašanje, ali so od Mercedes-Benza prejeli kakšno obvestilo o ranljivosti programske opreme na avtomobilih razreda C, letnik 2015. Odgovor bomo objavili, ko ga bomo prejeli.

Ali je ranljivost, ki bi napadalcu omogočala vdor v avtomobilski računalnik, resna nevarnost, na agenciji za varnost prometa niso mogli oceniti, saj ne poznajo podrobnosti zasnove računalniškega sistema. So pa poudarili, da »vsaka nenamerna sprememba v obnašanju vozila, ki je ni povzročil uporabnik vozila, lahko pomeni resno tveganje za varnost«.

Smernice evropske komisije iz leta 2018 določajo, da morajo nadzorni organi pri presojanju stopnje nevarnosti upoštevati tako resnost potencialne škode kot verjetnost, da do nje pride. »Nevarnost« je v smernicah opredeljena kot grožnja za zdravje ali življenje oziroma možnost povzročitve hujše materialne škode.

»Direktiva o splošni varnosti proizvodov je bila sprejeta pred skoraj dvajsetimi leti, zato več konceptov in opredelitev ni primernih za današnji trg, preplavljen s povezanimi in pametnimi izdelki,« so v odgovoru za Oštro opozorili na slovenski zvezi potrošnikov. Poudarili so, da je zakonska opredelitev nevarnosti zastarela.

»To je lahko težava tako pri vozilih kot pri vseh drugih tako imenovanih pametnih in povezanih izdelkih, ki so ves čas povezani s spletom in jih bo na trgu vsak dan več,« so dodali na zvezi. Menijo, da bi morala evropska komisija v direktivi razširiti definicijo varnosti, da bo vključevala tudi kibernetsko varnost.

 
 

Proizvajalci pametnih naprav za zdaj brez obveznosti

Proizvajalci pametnih naprav pogosto ne zagotavljajo dolgoročnih posodobitev, so maja letos v strokovnem članku za ameriški inštitut inženirjev elektrotehnike in elektronike (IEEE) ugotavljali slovenski raziskovalci z Urbanom Sedlarjem s fakultete za elektrotehniko na čelu. Sedlar je za Oštro poudaril, da zagotavljanje varnosti zahteva nenehen trud: »Varnost je kot oboroževalna tekma, vseskozi se pojavljajo novi pristopi na obeh straneh.«

Tudi Sedlar meni, da bi morala biti obveznost proizvajalcev pametnih naprav zakonsko urejena. Kot pravi, so redki kupci pripravljeni plačati več za varnejši izdelek, posledica tega pa je, da proizvajalci v varnost ne vlagajo. »To je tipičen problem, ki ga mora rešiti regulativa, saj nobena stran ne bo motivirana za rešitev, dokler ne bo ustreznih finančnih posledic: visokih kazni za kršitelje.«

Trenutno pri evropski komisiji poteka javna razprava o prenovi direktive o splošni varnosti proizvodov. Evropski predpisi namreč ne določajo standardov glede kibernetske varnosti povezanih proizvodov, niti obvez proizvajalcev glede zagotavljanja posodobitev, so pojasnili na zvezi potrošnikov. 

Opozorili so še na direktivo o radijski opremi iz leta 2014, ki določa, da morajo izdelki zagotavljati varnost osebnih podatkov in zaščito pred goljufijami. Vendar evropska komisija še ni sprejela izvedbenih aktov, v katerih bi natančneje opredelila zahteve za posamezne proizvode. 

Evropski svet je maja 2019 odgovornost prodajalcev pametnih naprav opredelil v direktivi o nekaterih vidikih pogodb o prodaji blaga. Direktiva določa, da mora prodajalec v obdobju, ki ga potrošnik – glede na vrsto in namen blaga – lahko razumno pričakuje, zagotavljati varnostne posodobitve in potrošnike o njih obveščati.

Države članice morajo vsebino direktive v nacionalno zakonodajo prenesti do začetka julija 2021. Na ministrstvu za gospodarstvo so za Oštro pojasnili, da pripravljajo spremembe zakona o varstvu potrošnikov, s katerimi bodo do zahtevanega roka prenesli določbe direktive, pred tem pa bo zakon tudi v javni razpravi.

 

 
 
zvizgac_banner.png