Хосе Карлос Норте использовал поисковую систему Shodan, которая получает сведения от устройств, подключенных к интернету. Недавно вокруг Shodan разгорелся скандал, так как оказалось что через нее можно получить доступ к сотням незащищенных частных веб-камер по всему миру.
Норте обнаружил, что многие транспортные средства оснащены так называемыми интегрированными шлюзами (TGU) — небольшими устройствами, работающими от радиоволн. Данные с этих шлюзов никак не шифруются, особенно это касается устройств C4Max от французской фирмы Mobile Devices — они не защищены паролем и любой хакер может получить к ним доступ.
«Можно отследить местоположение грузовика, а потом ограбить его. Плохие ребята легко найдут применение этой бреши в безопасности», — заметил Норте.
Он также подчеркнул, что можно зайти и дальше — например, направить команды на внутреннюю сеть автомобиля и повлиять на процесс руления, торможения и управления коробкой передач.
Кроме того, хакеры могут получить доступ к протоколу автомобильных шин CAN bus, который связывает автомобильные компоненты в сеть данных. Теоретически, хакер может взять на себя управление этой системой и внезапно остановить крупногабаритный транспорт.
Они провели полноценную атаку системы CAN, используя различные устройства от Mobile Devices, установленные на транспортных средствах (в эксперименте участвовали небольшие автомобили и грузовики). В итоге ученые смогли удаленно манипулировать дворниками и тормозами, чем доказали опасность подключенных к интернету автомобилей.
В Mobile Devices заявили, что уже начали проводить расследование, чтобы обнаружить, какие устройства еще остались в «режиме разработки» и поэтому остаются уязвимыми. По словам представителей компании, полноценные новые версии устройств защищены более эффективно.