W samochodach już od dawna stosowany jest immobilizer. Jest to swego rodzaju zabezpieczenie, które sprawdza autentyczność wsadzanego do stacyjki klucza. Jeżeli ten jest oryginalny, silnik zostanie uruchomiony. W przypadku podróbki auto odmówi posłuszeństwa, co może zirytować mniej doświadczonych złodziejów.
Już dwa lata temu trójka naukowców z Wielkiej Brytanii i Holandii odkryła problemy z systemem Megamos Crypto, który jest stosowany w niektórych samochodach. Słabe punkty miały być przedstawione podczas sympozjum USENIX Security, które odbyło się w sierpniu 2013. Badacze zostali jednak zablokowani przez sąd na żądanie Volkswagena i francuskiej grupy obrony Thales.
Dwa lata później naukowcy w końcu mogli się podzielić swoimi odkryciami. Przedstawili oni dokumentację, w której szczegółowo opisano działanie systemu Megamos Crypto podczas uruchamiania silnika. Wyjaśniono również, jak w sposób bezprzewodowy obejść zabezpieczenia immobilizerów. Technika ta może być wykorzystywana przez nieco bardziej zorientowanych złodziejów do kradzieży luksusowych aut.
Jak się jednak okazuje, problem dotyczy nie tylko aut z wyższej półki – Audi, Bentleya czy Porche, ale również nieco bardziej popularnych pojazdów takich firm, jak Fiat, Honda czy Volvo. Poniżej przedstawiamy tabelę, w której zawarto modele narażone na ten atak. Te, na których eksperymentowano, wyróżniono pogrubieniem.
Tabela aut narażonych na atak związany z immobilizeremCo ciekawe, naukowcy twierdzą, że oprogramowanie zawierające algorytm Megamos Crypto znaleźli w… internecie. Dzięki temu byli w stanie odszukać słabości systemu pozwalające na jego obejście. Program był rzekomo dostępny od 2009 roku. Badacze zgłosili lukę do EM Microelectronic, która produkuje procesory używane przez Volkswagena już w 2012 roku. Rok później informacje przekazano również Volkswagenowi.
Jeden z naukowców tłumaczy ponadto, że udostępnienie badania nie sprawi, że nagle wzrośnie liczba kradzieży luksusowych aut. W dokumentacji nie zawarto bowiem szczegółowych danych opisujących atak.
Źródło: Bitdefender