Εκατοντάδες χιλιάδες ιδιοκτήτες βρίσκονται σε κίνδυνο, την ίδια στιγμή που…
η έρευνα αποκαλύφθηκε μόνο αφού οι ερευνητές κέρδισαν τη δίκη με τη VW (που έχει 29 «ευάλωτα» μοντέλα) η οποία προσπάθησε να σταματήσει τη δημοσίευσή της.
Οι τρεις ερευνητές, Flavio Garcia από το Πανεπιστήμιο του Birmingham, και οι συνεργάτες του Baris Ege και Roel Verdult από το Πανεπιστήμιο του Nijmegen στην Ολλανδία, υποστηρίζουν στην έρευνά τους ότι διαπίστωσαν πως το λογισμικό στα ασύρματα κλειδιά 138 διαφορετικών μοντέλων, ανάμεσα στα οποία περιλαμβάνονται και Ferrari, Porsche και Audi είναι πολύ εύκολο να παραβιαστούν. Συνολικά 26 αυτοκινητοβιομηχανίες χρησιμοποιούν κλειδιά τα οποία οι ερευνητές θεωρούν ότι έχουν υπερβολικά απλούς κώδικες, που παραβιάζονται με ευκολία.
Οι τρεις ερευνητές υποστηρίζουν ότι οι κώδικες είναι τόσο απλοί που ουσιαστικά είναι παιχνιδάκι για κάποιον με στοιχειώδεις γνώσεις λογισμικού να τους σπάσει. Αν γίνει αυτό το μόνο που χρειάζεται είναι ένας πομπός και οποιοσδήποτε από τα εν λόγω μοντέλα είναι στο έλεος των κλεφτών. Ο Flavio Garcia λέει χαρακτηριστικά «είναι σαν ο κωδικός σου να έχει το όνομα…κωδικός». Και συνεχίζει: «θέλουμε να τονίσομε πόσο σημαντικό είναι για την αυτοκινητοβιομηχανία να ξεφύγει από αδύναμους αλγόριθμους και να αρχίζει να χρησιμοποιεί πολύ πιο ισχυρούς και δοκιμασμένους». Εκτός από τη Volkswagen, η Skoda, η Citroen, η Fiat και η Volvo είναι μόνο κάποιες από τις εταιρείες που αυτή τη στιγμή πουλάνε αυτοκίνητα με αδύναμους κωδικούς.
Τα 138 μοντέλα που είναι πιο ευάλωτα στην αποκωδικοποίηση των αλγορίθμων των κλειδιών τους
Κατασκευαστής
Μοντέλο
Audi
A1, A2, A3, A4 (2000), A6, A8, Allroad, Cabrio, Coupé, Q7, S2, S3, S4, S6, S8, TT (2000)
Buick
Regal
Cadillac
CTS-V, SRX
Chevrolet
Aveo, Kalos, Matiz, Nubira, Spark, Evanda, Tacuma
Citroën
Jumper (2008), Relay
Daewoo
Kalos, Lanos, Leganza, Matiz, Nubira, Tacuma
DAF
CF, LF, XF
Ferrari
California, 612 Schaglietti
Fiat
Albea, Doblo, Idea, Mille, Multipla, Palio, Punto (2002), Seicento, Siena, Stilo, Ducato (2004)
Holden
Barina, Frontera
Honda
Accord, Civic, CR-V, FR-V, HR-V, Insight, Jazz (2002), Legend, Logo, S2000, Shuttle, Stream
Isuzu
Rodeo
Iveco
Eurocargo, Daily
Kia
Carnival, Clarus, Pride, Shuma, Sportage
Lancia
Lybra, Musa, Thesis, Y
Maserati
Quattroporte
Opel
Frontera
Pontiac
G3
Porsche
911, 968, Boxster
Seat
Altea, Cordoba, Ibiza, Leon, Toledo
Skoda
Fabia (2011), Felicia, Octavia, Roomster, Super, Yeti
Ssangyong
Korando, Musso, Rexton
Tagaz
Road Partner
Volkswagen
Amarok, Beetle, Bora, Caddy, Crafter, Cross Golf, Dasher, Eos, Fox, Gol, Golf (2006, 2008), Individual, Jetta, Multivan, New Beetle, Parati, Polo, Quantum, Rabbit, Saveiro, Santana, Scirocco (2011), Touran, Tiguan, Voyage, Passat (1998, 2005), Transporter
Volvo
C30, S40 (2005), S60, S80, V50, V70, XC70, XC90, XC94
Όπως είπαμε η Volkswagen μήνυσε και τα δύο Πανεπιστήμια όταν δημοσίευσαν τα συμπεράσματά τους. Ωστόσο ύστερα από δύο χρόνια δικαστικών αγώνων συμφώνησε στη δημοσίευση της έρευνας, αφού πρώτα απαλείφθηκε από αυτήν η περιγραφή του απλού τρόπου με τον οποίο έσπαγε ο κωδικός.
Σύμφωνα με τους ειδικούς, ο αδύναμος κρίκος στον οποίο στοχεύει η «διάρρηξη» είναι το τσιπάκι του κλειδιού, γνωστό ως πομπός Megamos Crypto. Αυτοί χρησιμοποιούνται στα κλειδιά των περισσότερων σύγχρονων αυτοκινήτων για να ξεκλειδώσουν τις πόρτες και να βάλουν μπροστά τον κινητήρα. Ο πομπός επικοινωνεί με τον εγκέφαλο του οχήματος, ο οποίος επιβεβαιώνει την ταυτότητά του όταν πιέζεις το κουμπί. Ο δυαδικός κώδικάς δίνει τη δυνατότητα δισεκατομμυρίων συνδυασμών. Παρόλα αυτά οι τρεις ερευνητές ανακάλυψαν ότι όταν επενέβαιναν στην επικοινωνία μεταξύ κλειδιού και οχήματος μόλις δύο φορές, μπορούσαν να περιορίσουν τους πιθανούς κωδικούς σε μόλις 200.000. Κατόπιν, ειδικά προγράμματα σπασίματος μπορούσαν να δοκιμάσουν έναν έναν αυτούς τους 200.000 συνδυασμούς σε μόλις μισή ώρα. Αφού λοιπόν έβρισκαν τελικά τον κωδικό η κλοπή ήταν «ένα κομμάτι τούρτα».
Οι ερευνητές εξέφρασαν βάσιμους φόβους ότι με αυτό το know how οι επίδοξοι κλέφτες θα μπορούσαν άνετα να χτίσουν έναν ολόκληρο στόλο κλεμμένων ακριβών αυτοκινήτων. Ο κ. Garcia και οι συνεργάτες του παρουσίασαν τα αποτελέσματα της έρευνάς τους στην Washington τον περασμένο Αύγουστο. Μετά έδωσαν στην ελβετική EM Microelectonic, την εταιρεία που κατασκευάζει τον πομπό Megamos Crypto εννέα μήνες για να διορθώσει το ελάττωμα, διαφορετικά θα δώσουν όλες τις λεπτομέρειες της έρευνας στη δημοσιότητα.
Η Volkswagen από τη μεριά της ανακοίνωσε ότι το σπάσιμο του κώδικα προϋποθέτει σημαντική και περίπλοκη προσπάθεια που είναι απίθανο να εφαρμοστεί εκτός κι αν μιλάμε για ένα πολύ οργανωμένο και άρτιο τεχνολογικά «συνδικάτο εγκλήματος». Και προσέθεσε: «Δίνουμε μεγάλο βάρος στην ασφάλεια των οχημάτων μας, τόσο στα μηχανικά όσο και στα ηλεκτρονικά μέρη και επενδύουμε μεγάλα ποσά για να διασφαλίσουμε την όσο το δυνατόν καλύτερη προστασία τους από εξωτερικές κακόβουλες επιθέσεις.»
Πηγή