A modern autó feltörése, ellopása talán az első színtere ennek a küzdelemnek. A harc tart, egyszer az egyik – a tolvajok –, majd a másik fél – az autógyártó – van előbbre.
A rabló-pandúr szindróma kifejezés jól leírja azt a helyzetet, amikor:
az egyik fél új módszert talál ki,
a másik fél védekezést fejleszt,
erre ismét új támadási módszer jelenik meg
és a folyamat soha nem ér véglegesen nyugvópontra.
A távoli eléréses „rablókat” nem biztos, hogy maga az autó érdekli, lehet, hogy inkább a fedélzeten gyűjtött értékes információk, vagy az autó haladása közben szerzett adatok. A rablás az ezekhez való illegális hozzáférés.
Az, hogy az autó „nyitott könyv”, miszerint az autónak nincs titka, minden műszaki paraméterét, minden utazási eseményét, sőt a bennülők beszélgetését, esetleg e-mail írását is bárki (ha van tudása és eszköze) ki tudja olvasni, illetve követni távolról.
A megfogalmazás, hogy „az autó nyitott könyv”, részben túlzás, de van benne igazság. A modern, hálózatba kapcsolt járművek nagyon sok adatot gyűjtenek és továbbítanak, és ezekből sok minden kiderülhet a használójáról. Ugyanakkor:
az adatokhoz nem fér hozzá bárki,
jogi és technikai védelem létezik,
a hozzáférést szabályozzák.
A jármű tehát nem teljesen „nyitott könyv”, de kétségtelenül egy erősen adatvezérelt eszköz, amelynél a kiberbiztonság és adatvédelem kulcsfontosságú.
A távkapcsolati (remote) információcsere – vagyis a jármű és külső rendszerek közötti adatkommunikáció – szorosan összefügg a gépjármű-kiberbiztonsággal, mert minden ilyen kapcsolat potenciális támadási felületet jelent. Minél több adatkapcsolata van egy járműnek (diagnosztika, telemetria, OTA), annál fontosabb a megfelelő biztonsági architektúra.
A távkapcsolati rendszerek, mint kiberbiztonsági kockázat
A modern járművek több külső kapcsolattal rendelkeznek:
mobilhálózat (4G/5G),
Wi-Fi,
Bluetooth,
mobilalkalmazások,
felhőszolgáltatások,
OTA frissítési infrastruktúra,
V2X kommunikáció.
Minden ilyen interfész potenciális belépési pont egy támadó („rabló”) számára.
Lehetséges támadások
Távoli hozzáférés: ECU manipuláció, járműfunkciók átvétele
Adatlopás: menetadatok, helyadatok, felhasználói adatok
Rendszer manipuláció: hamis OTA frissítés, diagnosztikai parancsok küldése
Szolgáltatásmegtagadás (DoS - Denial of Service): kommunikáció blokkolása, járműfunkciók leállása.
A távkapcsolati (remote) információcsere a modern járművek egyik alapvető eleme. Lényege, hogy a jármű és külső rendszerek (gyártó szerverei, szervizek, flottakezelők vagy mobilalkalmazások) között valós idejű vagy időszakos adatkapcsolat jön létre mobilhálózaton vagy interneten keresztül. Ez három fő területre bontható:
távdiagnosztika,
menet- és járműállapot-adatok,
OTA (Over-the-Air) frissítések.
Remote diagnosztika (távdiagnosztika) és funkciók
A jármű elektronikus vezérlőegységei (ECU-k) hibákat és állapotadatokat gyűjtenek. Ezeket az adatokat a telematikai vezérlőegység (TCU) vagy a gateway ECU továbbítja a gyártó vagy a szerviz rendszere felé.
A jármű érzékelői adatokat generálnak, az ECU-k diagnosztikai információkat tárolnak.
A telematikai modul mobilhálózaton keresztül adatot küld a gyártó szerverenek, ott elemzik az adatokat és a márkaszerviz vagy a felhasználó értesítést kap.
Gyakran továbbított diagnosztikai adatok
Hibakódok DTC - Diagnostic Trouble Codes): emissziós hibák, motorvezérlő hibák, szenzorhibák stb.
Állapotinformációk: akkumulátor állapot, motorhőmérséklet, töltési rendszer, fékrendszer ADAS rendszerek állapota stb.
Prediktív karbantartási adatok: alkatrészkopás, akkumulátor degradáció, olajminőség fékbetét kopás stb.
A modern járművek számos remote funkciót kínálnak:
Mobilalkalmazás funkciók: jármű helyének megjelenítése, töltési állapot, előklimatizálás, ajtózár vezérlés, útvonal küldése a járműbe.
Szerviz funkciók: automatikus szervizidőpont, hibajelentés, szoftverfrissítés
Biztonsági kockázatok, ha a kommunikáció nincs megfelelően védve:
egy támadó hamis diagnosztikai parancsokat küldhet,
hozzáférhet a jármű ECU-ihoz,
manipulálhatja az adatokat.
Védekezési megoldások:
titkosított kommunikáció (TLS),
kétoldali hitelesítés,
biztonságos diagnosztikai gateway,
jogosultságkezelés.
A modern járművekben ezért a diagnosztikai hozzáférést a Secure Diagnostic Access szabályozza.
Menetinformációk és járműtelemetria
A telemetria a jármű működésére és használatára vonatkozó adatokat jelenti, amelyek folyamatosan vagy időszakosan kerülnek továbbításra.
Gyűjtött menetadatok: sebesség, motorfordulatszám, tüzelőanyag vagy energiafogyasztás, hatótávolság, akkumulátor töltöttség (SOC), akkumulátor egészségi állapot (SOH).
Vezetési adatok: gyorsítás és fékezés, kanyarodási dinamika, gázpedál-használat, vezetési stílus. Ezek alapján a gépkocsivezetőnek fel is mondhatnak.
ADAS és biztonsági adatok: sávelhagyás, vészfékezés aktiválása, radar és kamera adatok, ütközési események stb.
Környezeti adatok: útviszonyok, GPS helyadat, forgalmi információk stb.
Hol használják az adatokat?
Navigáció és forgalom: valós idejű útvonaloptimalizálás, forgalmi torlódások elkerülése.
Flottakezelés: járműkövetés, vezetési hatékonyság, fogyasztás optimalizálás.
Biztosítási modellek - használat alapú biztosítás.
Gyártói fejlesztés: valós használati adatok, járműfejlesztési visszacsatolás
OTA (Over-the-Air) frissítések
Az OTA frissítés lehetővé teszi, hogy a jármű szoftverei távolról frissüljenek, szervizlátogatás nélkül. Az OTA architektúra, a rendszer fő elemei: backend szerver, felhő infrastruktúra, jármű telematikai egység, jármű gateway, ECU-k.
Frissítési folyamat
A gyártó új szoftververziót készít.
A frissítés a felhőben kerül tárolásra.
A jármű ellenőrzi a frissítést.
A csomag titkosított csatornán letöltődik.
A rendszer ellenőrzi az integritást.
A jármű telepíti az új szoftvert.
Az OTA frissítés az egyik legkritikusabb kiberbiztonsági terület, mert a jármű szoftverei távolról módosíthatók. Potenciális támadások
Hamis frissítés telepítése: malware (rosszindulatú szoftver) ECU-ban, funkciók manipulálása
Man-in-the-middle támadás: frissítés módosítása letöltés közben (a Man-in-the-Middle támadás egy olyan kiberbiztonság elleni támadás, amikor egy támadó két kommunikáló fél közé ékelődik, és titokban figyeli, módosítja vagy manipulálja az adatforgalmat anélkül, hogy a felek ezt észrevennék.)
Frissítés megszakítása: rendszer összeomlása
Biztonsági megoldások:
Digitális aláírás: a frissítési csomagot a gyártó aláírja.
Integritás ellenőrzés: hash ellenőrzés.
Secure boot: csak hiteles szoftver indulhat.
Rollback védelem: régi, sérülékeny verzió nem telepíthető.
Valóban mindent „lát”, minden adathoz hozzáfér a gyártó?
Úgy tudjuk, hogy nem. A valóság árnyaltabb: a legtöbb jármű nem küld folyamatos GPS adatot a gyártónak, csak bizonyos szolgáltatások esetén.
A gyártók általában:
anonim vagy aggregált adatokat gyűjtenek,
csak műszaki adatokat tárolnak,
felhasználói hozzájárulást kérnek.
Az EU-ban a GDPR szabályozza az adatkezelést.
Valódi kockázatok
Az adatkiszivárogtatás, adatlopás iránti aggodalom azonban nem alaptalan.
A járműadatokból megállapítható:
a lakhely,
a munkahely,
a napi rutin,
az utazási szokások.
Egy modern autó naponta több gigabájt adatot generálhat.
Ha a rendszer feltörhető:
adatok ellophatók.
járműfunkciók manipulálhatók.
Adatmegosztás harmadik féllel, azaz bizonyos esetekben adatok átkerülhetnek:
térképszolgáltatókhoz,
alkalmazásfejlesztőkhöz,
biztosítókhoz.
Az EU kifejezetten szabályozza a járműadatokat.
Az EU-ban:
a járműadat személyes adat lehet
a gyártó csak hozzájárulással kezelheti
a felhasználó kérheti a törlést.
Mit tehet a jármű tulajdonosa?
Néhány gyakorlati lépés:
infotainment rendszer törlése eladás előtt
felhőszolgáltatások kikapcsolása
mobilalkalmazás jogosultságok ellenőrzése
telemetria beállítások módosítása
rendszeres szoftverfrissítés.
Összefoglalva
A modern autó valóban sok adatot generál, és ezekből sok minden kiderülhet a használójáról. Ugyanakkor:
az adatokhoz nem fér hozzá bárki,
jogi és technikai védelem létezik,
a hozzáférést szabályozzák.
A jármű tehát nem teljesen „nyitott könyv”, de kétségtelenül egy erősen adatvezérelt eszköz, amelynél a kiberbiztonság és adatvédelem kulcsfontosságú.
