В США появился новый метод угона автомобилей с помощью NOKIA 3310

[Artifact]

Всемогущий телефон теперь может запускать двигатель автомобиля.
В США появился новый вид угона автомобилей, в ходе которого преступники используют телефоны NOKIA 3310, для взаимодействия с системой управления транспортным средством.
Новый метод угона позволяет вору даже без технического опыта угонять автомобили без ключа за 10-15 секунд. Благодаря устройствам, которые можно купить в Интернете за несколько тысяч долларов, барьер входа для угона даже дорогих роскошных автомобилей резко снижается.
Кен Тинделл, технический директор компании Canis Labs, занимающейся кибербезопасностью автомобилей, рассказал о работе таких устройств . По сути, устройство делает всю работу за угонщика. Все, что вору нужно сделать, это взломать переднюю фару и вырвать проводку автомобиля. После этого угонщик может использовать открытые соединения для физического доступа к CAN-шине и отправки сообщений, дающих команду внутренним системам автомобиля снять все блокировки.
Такой способ угона распространяется на автомобили Toyota, Maserati, Land Cruiser и Lexus. В интернете и в различных Telegram-каналах эта технология продаётся по цене от $2 700 до $19 600. Несмотря на свои высокие цены, некоторые модифицированные телефоны NOKIA 3310 содержат компоненты всего на $10 – микросхема с оборудованием и прошивкой CAN, а также другая микросхема, связанная с CAN.
https://youtu.be/oeJumGZ56CY
Исследователи назвали атаку CAN Injection (Controller Area Network, CAN). При атаке с использованием CAN-инъекции воры имеют возможность направлять в систему автомобиля поддельные сообщения, как если бы они поступали от приемника смарт-ключа. Эти сообщения позволяют разблокировать транспортное средство и отключить иммобилайзер (противоугонную систему) двигателя, позволяя по итогу угнать автомобиль.
После того, как производитель устройства реконструировал обмен сообщениями конкретного автомобиля, создание каждого устройства заняло бы всего несколько минут. Вся работа состоит в том, чтобы припаять несколько проводов.
По словам исследователей, единственным правильным решением было бы ввести криптографическую защиту для сообщений CAN. Это можно сделать с помощью обновления ПО. «Программное обеспечение простое, и единственная сложная часть — внедрение инфраструктуры управления криптографическими ключами. Но поскольку новые автомобильные платформы уже используют криптографические решения, эта инфраструктура либо уже существует, либо ее все равно нужно построить», — отметили эксперты.
Как сообщил Кен Тинделл, проблема активно обсуждается с различными автопроизводителями, и есть все шансы, что в последующих поколениях популярных брендов доступ к CAN-шине будет реализован другим образом, или будут введены дополнительные системы защиты, что снизит вероятность угона автомобиля этим методом.
Ранее в этом месяце Кен Тинделл также описал способ угона автомобилей с помощью Bluetooth-колонки JBL , основанный на прямом доступе к системной шине через проводку фары. Самое страшное, что этому методу подвержены автомобили многих брендов, так как практически во всех современных моделях проводка организована схожим образом. Первым, кто забил тревогу, стал Йен Табор, исследователь кибербезопасности и консультант по автомобильной технике EDAG. Его Toyota RAV4 готовили к угону на протяжении нескольких дней, понемногу взламывая внешние электронные компоненты.