GM memperbaiki, memperbaiki retasan OnStar RemoteLink

OnStar GM mengikuti Chrysler's UConnect sebagai layanan telematika yang terbukti dapat diretas. Dalam kasus GM, peretasan tersebut melibatkan pembuatan spoof dari aplikasi smartphone OnStar RemoteLink dan mengeluarkan perintah ke mobil seperti membuka kunci pintu dari jarak jauh. Tidak ada yang melibatkan peretasan pada fungsi kemudi atau pengereman mobil yang sedang berlangsung. General Motors dengan cepat mengeluarkan perbaikan untuk server OnStar-nya, menyatakan bahwa masalah telah terpecahkan, kemudian perangkat iOS yang diketahui masih rentan.

GM menambal aplikasi OnStar pada akhir minggu lalu dan mengatakan pengguna perlu mengunduh versi baru melalui Apple App Store. Aplikasi RemoteLink memungkinkan pengguna untuk mengunci dan membuka kunci mobilnya dari jarak jauh, menyalakan mesin, membunyikan klakson, dan menunjukkan lokasinya.

Kerentanan dipublikasikan, diperbaiki dalam beberapa hari

Logo Tombol OnStarPeneliti keamanan Sammy Kamkar minggu lalu menunjukkan bagaimana dia membuat perangkat seharga $ 100 yang dianggap sebagai hotspot WiFi yang aman. Jika pemilik meluncurkan aplikasi RemoteLink-nya dalam jangkauan kotak Kamkar - disebut 'OwnStar' dan berisi komputer Raspberry Pi dan tiga radio kecil - ponsel dapat terhubung dengan OwnStar dan melakukan fork melalui kredensial pengguna. Berdasarkan Berkabel, yang bekerja dengan Kamkar, RemoteLink menggunakan enkripsi SSL (baik) tetapi tidak memverifikasi bahwa itu berbicara dengan server OnStar asli (buruk).



Kamkar mengatakan dia berbicara dengan GM Rabu lalu (29 Juli) dan dalam satu hari Wired menerbitkan ceritanya, GM mengeluarkan tambalan awal, Kamkar mengatakan dia orang baik yang mencoba menunjukkan kerentanan mobil / internet yang terhubung, dan GM mengeluarkan ' kami menganggap serius keamanan pelanggan kami ”. Ia juga mengatakan masalah itu diselesaikan dengan menambal server. Kamkar mengatakan GM memperbaiki masalah ponsel Android dengan tambalan ke perangkat lunak server tetapi tidak untuk iOS, GM setuju, dan memperbarui aplikasi RemoteLink untuk perangkat Apple. GM menghentikan akses ke iOS RemoteLink, mengharuskan pengguna mengunduh versi baru untuk terus menggunakannya.

ONSTAR_UTILITY_GRID

Apa yang bisa hilang dari peretasan RemoteLink

RemoteLink sebagian besar adalah aplikasi kenyamanan bagi pengemudi yang tidak dapat mengingat apakah mereka mengunci mobil saat masuk ke dalam mal. Ada beberapa pengamanan yang sudah diterapkan. Layanan RemoteLink mencakup beberapa yang ada di keyfob pemilik, tetapi sekarang berfungsi dari mana saja, tidak hanya dalam jarak 50-100 yard. Akses RemoteLink meliputi:

  • Kunci jarak jauh, buka kunci jarak jauh. Sangat berguna jika Anda mengunci kunci di dalam mobil dan juga berguna jika mobil Anda ada di dalam Relay Rides program berbagi mobil peer-to-peer. Pemilik mengunci kunci di dalam mobil dan penyewa, menggunakan aplikasi Relay Rides terpisah (bertanya-tanya apakah Kamkar telah memeriksanya?) Menempatkan kemudian membuka kunci mobil.
  • Mulai dari jauh, batalkan mulai. Mobil mulai dari jarak jauh dan menghangatkan atau mendingin dengan sendirinya ke kontrol suhu yang telah diatur sebelumnya. Mobil tidak dapat dikemudikan tanpa kehadiran keyfob. Juga tidak dapat diam tanpa pengawasan selama lebih dari 10 menit untuk menghindari pemborosan energi.
  • Temukan mobilnya. Lihat mobil di peta, perbesar untuk melihat lokasinya dengan tepat.
  • Klakson klakson, lampu flash.
  • EV, pengisian daya hybrid. Lihat status pengisian, atur waktu untuk memulai pengisian atau atur waktu kapan pengisian harus selesai. Juga lakukan pemanasan atau pra-pendinginan mobil menggunakan listrik rumah daripada baterai atau mesin.
  • Informasi akun pengguna OnStar termasuk jenis dan nama mobil, informasi pemilik, dan informasi sebagian kartu kredit (empat digit terakhir, tanggal kedaluwarsa).

Apa yang bisa hilang dari peretasan RemoteLink

Berdasarkan kekurangan RemoteLink, hal terburuk yang bisa terjadi adalah pencuri bisa mengosongkan mobil Anda dari barang-barang berharga. Meskipun seseorang yang cukup pintar untuk membuka kunci mobil Anda dari jarak jauh mungkin dapat mengejar target yang lebih besar daripada tas laptop dan tas McDonald's lama di lantai kursi belakang.

Kamkar akan merinci peretasan OwnStar minggu ini di DefCon konferensi di Las Vegas. Mudah-mudahan eksploitasinya akan membuat industri otomotif memikirkan apa yang perlu dilakukan. Pemilik menyukai kenyamanan remote control aspek keselamatan mobil, misalnya memeriksa ulang apakah Anda mengunci mobil saat check-in ke hotel dan meninggalkan mobil di tempat parkir di luar jangkauan tombol kunci keyfob Anda. Pemilik EV ingin tahu apakah Volt atau Prius mereka terisi penuh dan juga apakah mereka benar-benar mencolokkan mobil ketika mereka bergegas masuk ke rumah.

Aplikasi jarak jauh pemilik yang lebih canggih dapat menemukan tempat parkir dan menegosiasikan harga. Mereka dapat memberi tahu Anda tanggal kedaluwarsa sewa. Produsen mobil dapat mengirimkan pemberitahuan penarikan kembali dan mengeluarkan kupon diskon.

Yang jelas dari peretasan Chrysler (yang menyebabkan 1,4 juta penarikan kembali) dan sekarang peretasan GM RemoteLink adalah bahwa pembuat mobil harus lebih serius memikirkan keamanan sambungan jarak jauh. Sepertinya masalah keamanan GM tidak memikirkan cara-cara yang jelas untuk memanfaatkan mobil tersebut. Orang yang sama yang tidak pernah secara sadar menghubungkan tablet mereka di kedai kopi di pusat kota ke titik akses yang disebut Free_WiFi tidak memikirkan tentang hal itu ketika datang ke mobil yang mereka buat.

Ini adalah perbaikan yang relatif mudah, setidaknya di sisi Android, dan sedikit kerumitan di sisi Apple. Ini juga menyarankan pembuat mobil perlu berevolusi ke perangkat lunak over-the-air dan pembaruan keamanan - setelah mereka merasa nyaman bahwa tautan OTA aman. Ketika Ford mengalami masalah dengan Ford Sync, file Sinkronkan kemungkinan tambalan Apakah a) mengirimkan kunci USB kepada pemiliknya melalui email atau b) meminta pelanggan menghabiskan waktu 90 menit yang menyenangkan di dealer. Sebagai perbandingan, Tesla mengirimkan pembaruannya melalui udara. Tesla dibantu oleh pola pikir pembelinya yang paham teknologi, yang mengharapkan pembaruan OTA. Pemilik merek lain mungkin masih takut dengan teknologi. Chrysler, GM, dan who’s-next hacks tidak akan meyakinkan mereka.

Copyright © Seluruh Hak Cipta | 2007es.com