Tilos a Volkswagen csoport lopásgátló-hibáit közzétenni

A brit felsőbíróság (High Court) a minap a Volkswagen csoport kérésének helyet adva megtiltotta egy biztonsági szakembernek és társainak, hogy az augusztus közepén tartandó 22. Usenix konferencián bemutatandó anyagának leírását közzétegye, mivel a dokumentáció azt tartalmazza, hogy miképp lehet az adott gyártó autóiban a lopásgátlót (immobiliser) egy nulladik napi sebezhetőség kihasználásával hatástalanítani.

Hirdetés

Flavio Garcia, a Birminghami Egyetem kutatója, illetve két holland titkosítási szakértő kollégája felfedezték, hogy a csoport által gyártott nagy értékű autók (Porsche, Audi, Bentley, Lamborghini) olyan lopásgátló technológiával (Megamos Crypto) vannak ellátva, melyek szoftveresen sebezhetőek, és így illetéktelenül is indulásra lehet bírni ezeket a kocsikat.

A bírósági döntés következtében a washingtoni konferencián a szakemberek csak úgy beszélhetnek felfedezésükről, hogy a lényegi részleteket nem említik meg. A bírósági eljárás is azért indult, mivel a Volkswagen csoport nem tiltotta ugyan le az előadást, de azt kérték a kutatóktól, hogy a sebezhetőséget kihasználó kódot ne mutassák be – ám ők ezt a kérést elutasították.

Nem tudni, ki hibázik nagyobbat

A történet háttere egyébként nem teljesen világos. A gyártó a bíróságon azzal indokolta kérésüket, hogy ezt a védelmi technológiát számtalan járművükben alkalmazzák, és még nincs rá javításuk. A kutatók védekezése erősen szembemegy a gyártó érvelésével: ők azt állítják, hogy a nyilvánosságra hozatalt azért erőltetik, mert a hibát mind az iparban, mind az autólopással foglalkozó bűnözői körökben már rég ismerik, a feltárására alkalmazott matematikai háttér már 2009 óta elérhető, ám a konkrét kihasználás technológiája (a processzor működésébe beavatkozó úgynevezett „chip slicing”) olyan drága (körülbelül 50 ezer fontot emészt fel), hogy emiatt kicsi az esély a most kezdődő kihasználására, ugyanakkor a vásárlóknak joguk van tudni, hogy nem biztonságos az említett autók lopásgátlója.Emellett a klasszikus hacker-érvet is felvonultatták: bizonyos gyártók csak akkor hajlandóak komolyan foglalkozni egy sebezhetőség kijavításával, ha nyilvánosságra kerül a konkrét hiba, részleteiben is.

A bíróság ezzel szemben kimondta, hogy tiszteletben tartják a kutatói szabadságot és az eredmények publikálását is fontosnak ítélik, ám jelen esetben a nyilvánosságra kerülő adatok segítenék a bűnözőket, ezért kilátásba helyezett büntetés terhe alatt ideiglenesen megtiltották az eredmények nyilvánosságra hozását.

Hirdetés

  • Kapcsolódó cégek:

Azóta történt

Előzmények