Med 'tilbagekaldelse' gør Fiat Chrysler sit bilhack værre

Efter at Wired viste to hackere fjernt få adgang og immobiliserer en jeep i bevægelse ved at udnytte softwaresårbarheder i sidste uge, reagerede Fiat Chrysler ved at lappe sårbarheden i flere Jeep-, Dodge- og Chrysler-modeller, der var udstyret med Uconnect-softwaren, der blev hacket. Hvordan de gik hen imod udstedelse af programrettelsen, kan imidlertid bare bringe virksomhedens kunder yderligere i fare.

I stedet for blot at behandle softwarepatchet som en traditionel tilbagekaldelse (dvs. kræve, at de besøger et servicecenter og har en ekspert til at rette op), sender Fiat Chrysler et USB-tommeldrev til ejere af de berørte biler. Derfra kan bilejernes ejere tilslutte USB-drevet til bilernes USB-port for at korrigere softwarens sårbarhed. Dette virker som en praktisk måde at give tilbagekaldelse til noget, som bilejere kan ordne selv. 

Som enhver med cybersikkerhedserfaring vel kunne vide, åbner dette imidlertid et stort procedurevindue for hackere, der kan være tilbøjelige til at udnytte sårbarheden for at tage kontrol over bilen. Carl Leonard, vigtigste sikkerhedsanalytiker hos Raytheon Websense, siger, at dette skaber en nem social ingeniørmulighed og bruger en notorisk sårbar distributionsmetode i USB-drevet.

"Fiat Chryslers beslutning om at sende USB-stik til kunder direkte for at afhjælpe den nylige sårbarhed er sikkerhedsækvivalenten ved at vifte med en rød klud til en tyr," siger Leonard. "Hackere, der er meget dygtige til at drage fordel af ubeslutsomhed og socialteknisk taktik i krisetider, kunne potentielt udnytte denne USB-fixmulighed til ubehagelige gevinster."

For dem, der ejer disse biler, kan det at forsøge at afhjælpe sikkerhedssårbarheden ende med at backfiring, hvis de er målrettet af hackere.

"[Hackere] kunne for eksempel parodere opdateringen med et falskt brev og deres egen USB-pind, så de kunne lancere en række truselscenarier i det virkelige liv, herunder gå ned eller stjæle bilen," tilføjede Leonard. "Dette tager ikke engang hensyn til usikkerheden om, at USB-patch er blevet anvendt korrekt uden nogen negative konsekvenser for sikker drift af køretøjet."

Alt dette synes især tåbeligt, når man overvejer, at Fiat Chrysler også har gjort opdateringen tilgængelig til download på sin hjemmeside samt tilbudt service hos sine forhandlere. Så tilbudet om at sende en forudindlæst USB-enhed var aldrig rigtig nødvendigt i første omgang.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.