Ezek után hogy bízzunk a BMW-ben?
Biztonsági problémák a ConnectedDrive rendszerben
Súlyos biztonsági problémát találtak a németek a BMW-nél: egy jobban képzett informatikus, vagy bárki, aki megveszi tőle a szükséges kütyüket, egy hátizsákban hordozható felszereléssel percek alatt ki tudta nyitni a vezetőajtót. Mindenki számára érthető, micsoda hanyagsággal programozták fel az autókat: hiába állítják, hogy kijavították a hibát, nehéz lesz ezek után elhinni, hogy tényleg odafigyelnek, amire kell.
Általában azon szoktuk lemérni, mennyire van lemaradva az autóipar az aktuális elektronikai, informatikai trendekhez képest, hogy a tesztautónk felismeri-e a pendrive-ot, hajlandó-e együttműködni a telefonnal, vagy mennyire béna a navigáció. Vannak, akik érzékelhető erőfeszítésekkel próbálnak felzárkózni, az Audi például az elsők között mutatott Google-térképet a műszerfalon, de úgy tűnik, nem mindenki figyelt eléggé, amikor bekötötte az internetet az autóba. A BMW Connected Drive rendszere legalábbis rondán elbukott.
A németek egyik nagy (ám nem teljesen szeplőtelen) autóklubja, az ADAC összeállt a c't nevű számítógépes újság szakembereivel, hogy olyan módszerekkel tegye próbára a BMW elektronikai rendszerét, ahogy a rosszfiúk is tennék. Nem a tévétávirányítóval próbálták feltörni az autót, hanem kiépítették a modulokat, belemásztak a kódokba, és megpróbálták feltörni őket. Sikerült.
Hogy nem-kockaként is megértsük, pontosan milyen ordító hibák voltak a kódolásban, meg kell ismerkednünk, mit és hogyan csinál a Connected Drive. Mindent, amit most leírok, a c't cikkéből tudok; feltételezem, ők jobban értenek hozzá. Nem fogok olyan részletesen belemenni, ahogy ők tették, inkább megpróbálom közérthetően elmagyarázni.
A Connected Drive olyan rendszer, amely egy beépített GSM-modulon keresztül tud kommunikálni a BMW főhadiszállással, mint egy mobiltelefon. A kétirányú adatátvitel segítségével számtalan dolgot tud megbeszélni az autó a központtal, igazából a gyáriakon kívül senki se tudja, pontosan miket. Jönnek-mennek a bitek, a gyár például látja, ha esedékes lenne a nagyszerviz, a sofőr meg elvileg kaphat infókat dugókról, de a felhasználó számára egyik legértékesebb funkció, hogy balesetkor automatikusan vagy gombnyomásra hívja a mentőket.
Aztán ott a BMW okostelefonos appja, amellyel a Connected Drive-on keresztül olyat is játszhatunk, hogy a telefonunkkal kinyitjuk a vezetőajtót. Istenem, micsoda ökörség. Tényleg ezzel lehet ma eladni egy autót? Hogy megkaparászom a telefonomat, és felhúzza a gombot? Legkésőbb ennek a funkciónak a felprogramozásakor kellett volna eszébe jutnia a fejlesztőnek, hogy ezt nem csak a tulajdonos akarhatja.
Akárhogy is, ott van az autóban ez a comboxnak nevezett modul, amely azért felelős, hogy lejátssza a zenénket a pendrive-ról, kihangosítsa a telefonunkat, illetve tartsa a kapcsolatot a sasfészekkel, mobiltelefon-hálózaton keresztül. 2010 óta építik mindenféle BMW-kbe, Minikbe és Rolls-Royce-okba, ezen keresztül tudunk baj esetén segélyt kérni, és a mobiltelefonos app parancsai is ide futnak be a BMW központján át. Vagy egészen máshonnan.
Akit érdekel, milyen eszközökkel sikerült a szakembernek megfejtenie, hogyan kommunikál a combox a központtal, a hackerkedés legmélyebb bugyraiba merülhet, ha tud angolul és ide kattint. A többieknek legyen elég annyi, hogy nem kapott semmilyen lopott vagy bennfentes infót a BMW-től, a tudása mellett interneten szabadon elérhető információkat és legálisan megvehető eszközöket használt.
Először elkezdett segélyhívó sms-eket küldözgetni, és a bennük található információkat értelmezve meglepően egyenes út vezetett a biztonság szempontjából kritikus funkciók működtetéséhez. Ugyanazt a titkosítási eljárást használták ugyanis az összes kommunikációnál, a biztonsági szempontból tök jelentéktelen segélyhívásnál és az igencsak kritikus ajtónyitásnál is. Mintha a budiajtó riglijével védték volna a családi ékszert. És ami még cikibb, ugyanazt a riglit használták mindenütt, vagyis ha valaki megfejtette egy tetszőleges BMW kódját, az minden BMW-nél működött.
Egy autó feltöréséhez elég volt egy mobiltelefon-hálózatot imitáló bázisállomás és egy laptop. Aki otthon, hosszú téli estéken megfejtette a BMW titkosítását, ha behergelte a kütyüt, el tudta játszani, hogy ő a BMW-központ. Az autó azt hitte, a sasfészekkel kommunikál, pedig valójában csak a kapucnis srác laptopjával, aki az áruházi parkolóban lapított. Megpingelte az autót, az a kódolatlan parancsra felébredt, és várta az ukázt. Az egyetlen egyedi azonosító az alvázszám volt, de most figyeljenek: ha nem a hozzá tartozó alvázszámmal szólította meg az autót, a visszaküldött hibaüzenetben benne volt a saját alvázszáma. Ha rossz jelszóval próbálunk bejutni más netbankjába, nem jó ötlet, ha a válaszban benne van a helyes. Innentől már csak be kellett írni a helyes alvázszámot, és már nyílt is az ajtó.
Újabb BMW-knél a combox helyett már egy TCB (Telematic Communication Box) nevű modul van, amely tudja a gyorsabb, UMTS adatátvitelt; ez már nem küldi vissza az alvázszámot, ezért minimum annyit kellett tenniük a rosszfiúknak, hogy leolvasták a szélvédő sarkából, továbbá zavarni kellett az UMTS adatátvitelt, hogy visszaugorjon a régimódi mobiltelefon-hálózatra, amit a bázisállomás imitált. De ennél is ugyanazt az ismert kódolást használták az összes autónál, vagyis egy rutinos hacker ezt is ki tudta nyitni.
Azért írom mindezt múlt időben, mert mielőtt borította volna a bilit, a c't és az ADAC szólt a BMW-nek, hogy ez így nem lesz jó, ők pedig mostanra elvileg befoltozták a lyukakat. A tulajdonosnak ezt észre se kellett vennie, ugyanis a sasfészekből központi parancsra végigszólongatták az összes érintett autót, és frissítették a szoftvert – legalábbis Németországban. Ám felhívták a figyelmet arra, hogy azok az autók, melyek olyan helyen voltak, ahonnan nem értek el mobiltelefon-hálózatot, vagy lemerült akkuval rostokoltak, nem biztos, hogy megkapták a frissítést.
Mi a helyzet Magyarországon?
Megkérdeztem a BMW Magyarországot, hány autó lehet érintett itthon, ezek frissültek-e, illetve mit javasolnak a bizonytalan BMW-tulajdonosoknak. Kiderült, hogy az év második felétől tervezik a Connected Drive hazai bevezetését, ezért új itthoni forgalomba helyezésű autóknál egyelőre nem érhetők el a funkciók, nincs érintett autó. Mivel a Connected Drive szolgáltatás lefedettség hiányában nem működik Magyarországon, azzal kapcsolatos feltételezésekre, vélt tapasztalatokra nem áll módjukban válaszolni.
Jó lett volna megtudni, pontosan mi a helyzet a használtan Magyarországra kerülő Connected Drive-os BMW-kkel, de egyelőre csak az olvasónk tapasztalataira hagyatkozhatunk. A például Németországban aktivált autóknál nem lehet tudni, hogy még a régi, feltörhető szoftverrel futnak-e, vagy az elvileg nem létező itthoni lefedettség mellett megtörtént-e a frissítés. Ha nem, és nincs beépítve valamilyen GPS-alapú területi tiltás, akkor itthon is működik a fent leírt trükk: ha valamelyik budaörsi nagyáruház parkolójában német BMW-központnak álcázza magát egy laptopos fiatal, percek alatt kinyithatja az autót.
Ezek után ha megtalálnám a Connected Drive-ot a BMW-m (Minim, Rolls-Royce-om) menüjében, tutira azonnal kitépném az antennacsatlakozót a modulból. Igaz, hogy valószínűleg egyszerűbben is ki tudják nyitni az autót a lopósok, de nem jó érzés, hogy egy közismerten feltörhető szoftver fut rajta, és miután megjelent ez a cikk, már csak brahiból is kinyithatja egy tehetségesebb hacker.
Ha félnek a BMW-sek, hogyan védekezhetnek? Egyrészt szoftveresen lekapcsolhatják a Connected Drive hozzáférést, de attól tartok, egy dörzsöltebb hacker vissza tudja kapcsolni. Németországban a márkaszervizekben írásos kérésre kiiktatják a Connected Drive-ot, ami már biztonságosabbnak tűnik. Barkácsmegoldásként le lehet húzni az antennát a comboxról (vagy újabb autóknál az úgynevezett TCB-ről). Ilyenkor biztosak lehetnek benne, hogy ilyen módszerekkel nem lehet kinyitni az autót, viszont nem fognak tudni segélyhívást kezdeményezni. Kellemetlen helyzet.
Az érintett autók listája itt érhető el, amúgy az összes Connected Drive-os BMW-csoportos gépről van szó, 2010. március és 2014. december 8. közötti gyártással: az ADAC szerint 2,2 millió darabról. A december 8-ról arra következtetek, hogy ekkor jutott el az információ a BMW-hez, és február elejére sikerült befoltozniuk a lyukat.
Szóval elvileg most már biztonságban van a bimmerek többsége ilyen típusú támadások ellen, de nekem nagyon úgy tűnik, hogy úgy általában óriási slendriánságok kerülhetnek bele az elektronikával teletömött autókba. A BMW-nél – vagy beszállítóinál – valószínűleg részben ugyanazok a srácok programoznak, akik 2010-ben kiengedték a kezük közül ezt a műremeket. Hogyan higgyem el, hogy ezentúl nem tesznek ilyet?
Egyébként biztos vagyok benne, hogy nem a BMW az egyetlen márka, amelyet egy laptoppal és néhány kütyüvel fel lehet(ett) törni; valószínűleg közelebb áll a valósághoz, ha azt állítom, hogy szinte minden autóba, amely mobiltelefon-hálózaton kommunikál, profik könnyen be tudnak jutni. És hozzá vehetjük nyugodtan a kulcs nélkül nyíló autókat is. Aztán ha már zaj, feltűnés és rongálás nélkül bejutottak az autóba, nem túl merész feltételezés, hogy hasonló felkészültséggel el is tudják vinni.
Mindez persze nem újdonság, amikor még három különböző kulcs kellett egy autóhoz, akkor ott volt a ruhafogas vagy a preparált fűrészlap, a jól irányzott rántás a kormányzár eltöréséhez, és a piros és a zöld drót szikráztatása a kormány alatt. Ma persze komolyabban rá kell készülni, de ne csodálkozzunk, ha ugyanúgy egy-két perc alatt kinyitják és beindítják az autót.
A baj itt az, hogy a c't szerint olyan titkosítási eljárásokat használt a BMW, amelyekről köztudott volt, hogy elavultak. Olyan módszerekkel védekeztek, amelyek hatástalanok. Visszaküldték a helyes alvázszámot. És ha hihetünk a szakembereknek, a megfelelő védelemhez minden eszköz rendelkezésükre állt volna: megfelelő titkosítás, védekezés triviális támadások ellen, minden autóhoz másfajta kód. Ha ezeket meglépik, nem lett volna olyan egyszerű kinyitni az autókat, hogy egy számítástechnikai magazinban publikáló ürge meg tudta volna csinálni. Hasonló helyzetet teremtettek, mintha minden BMW ugyanazzal a kulccsal nyílt volna, ami nagyon ciki egy ilyen szintű autógyártónál.