Istraživači su demonstrirali da se pametni autobusi, prevozna sredstva koja koriste različite sisteme za poboljšanje bezbjednosti, efikasnosti i iskustva putnika, mogu hakovati na daljinu.
Nalazi su predstavljeni u petak na DEF CON hakerskoj konferenciji od strane Chiao-Lin ‘Steven Meow’ Yu-a iz Trend Micro Tajvan i Kai-Ching ‘Keniver’ Wanga iz CHT Security, tajvanske kompanije koja se bavi upravljanim bezbjednosnim servisima (MSSP).
Istraživači su započeli analizu sajber bezbjednosti pametnih autobusa nakon što su primijetili da putnicima pružaju besplatan Wi-Fi.
Analiza je pokazala da isti M2M (mašina do mašine) ruter služi i za besplatan Wi-Fi putnicima i za sisteme unutar vozila koji se koriste u Naprednim Javnim Transportnim Uslugama (APTS) i Naprednim Sistemima Pomoći Vozaču (ADAS).
ADAS koristi senzore, kamere, radar i LiDAR da pomaže vozačima i spriječi nesreće. Njegove funkcije uključuju upozorenje na sudar, upozorenje pri napuštanju trake, pokazivač ograničenja brzine i prepoznavanje saobraćajnih znakova, kao i nadzor putnika i vozača radi bezbjednosti.
APTS se sastoji od raznih komponenti koje imaju za cilj povećanje efikasnosti javnog prevoza, poput GPS uređaja koji precizno lociraju autobus, interfejsa za putnike i operatere, usluga ruta i rasporeda, kao i panela na stajalištima — sve to upravlja se centralnim sistemom.
Istraživači su uspjeli lako zaobići autentifikaciju rutera u vozilu i pristupiti njegovom administratorskom interfejsu. Pošto nije postojala segmentacija mreže, zatim su mogli pristupiti funkcionalnostima APTS i ADAS sistema.
Stručnjaci su otkrili nekoliko ranjivosti u ovim sistemima, uključujući ubacivanje komandi i MQTT zadnja vrata (backdoor) koja omogućavaju daljinski pristup autobusu.
Na kraju, Yu i Wang su utvrdili da haker može pronaći ranjive autobuse na internetu i pokrenuti daljinske napade.
„Kada napadač razumije protokol putem analize paketa ili sličnih metoda, moguće je izvršiti napade sa interneta bez potrebe da se fizički nalazi u autobusu“, rekao je Yu za SecurityWeek.
Demonstrirali su različite scenarije, uključujući kako hakeri mogu pratiti tačnu lokaciju autobusa ili pristupiti kameri u vozilu, koja je zaštićena lako pogodivim zadanim lozinkama.
Prema riječima istraživača, kroz ove ranjivosti hakeri mogu manipulisati prikazom na tablama u vozilu, ukrasti informacije o putnicima i vozaču, pa čak i pristupiti serverima transportne kompanije.
„Protokoli koji se koriste (bar na Tajvanu) ne implementiraju nikakvu enkripciju ili autentifikaciju, čak ni po industrijskim standardima“, objasnio je Yu. „To znači da, ukoliko napadač može izvesti MITM (Man-In-The-Middle) napade, može direktno mijenjati ili falsifikovati sadržaj.“
Istraživači su otkrili da napadač može pristupiti sistemima autobusa i dobiti informacije kao što su GPS lokacija, brzina motora (RPM) i prosječna brzina vozila.
Ovi podaci se mogu manipulisati, a stručnjaci su opisali nekoliko teorijskih stvarnih scenarija napada. Na primjer, napadač može promijeniti GPS lokaciju vozila, što bi usporilo hitne službe u slučaju nezgode. Haker takođe može falsifikovati RPM podatke kako bi sakrio stvarne mehaničke probleme ili stvorio lažne u cilju izazivanja problema.
Napadači mogu falsifikovati podatke o stanju vozača i vozila da bi izazvali lažne hitne ili saobraćajne alarme. Mogu postaviti i lažni status „van funkcije“ kako bi ometali red vožnje i rad autobusa.
Istraživanje je sprovedeno na autobusima na Tajvanu, ali Yu je rekao za SecurityWeek da se ranjivi sistemi mogu koristiti i u drugim zemljama, imajući u vidu da prodavac nudi jezičke opcije za kineski, engleski, japanski i vijetnamski.
Istraživači su pokušali da odgovorno prijave svoja otkrića pogođenim proizvođačima, uključujući proizvođača rutera, američku kompaniju BEC Technologies i firmu koja pruža inteligentna transportna rješenja za autobuse na Tajvanu, Maxwin. Međutim, nisu dobili odgovor, a ranjivosti izgleda nisu zakrpljene.
Trend Micro Zero Day Initiative (ZDI) je objavio nekoliko upozorenja u kojima opisuje ranjivosti pronađene u BEC ruterima.
Izvor: SecurityWeek