Kaip „Shimano“ ištaiso belaidžių perjungiklių pažeidžiamumą.
Kalifornijos universiteto San Diege ir Šiaurės rytų universiteto mokslininkai atskleidė galimą profesionalių dviratininkų naudojamų belaidžių pavarų perjungimo įrankių pažeidžiamumą. Ši spraga gali leisti įsilaužėliams nuotoliniu būdu valdyti dviračio judėjimą lenktynių metu.
Šiuolaikiniuose aukštos klasės dviračiuose vis dažniau įrengiami elektroniniai komponentai. Tarp jų – galios matuokliai ir belaidės pakabos šakių valdymo sistemos. Beveik visi profesionalūs sportininkai dabar naudoja elektroninius perjungiklius. Šie prietaisai reaguoja į skaitmeninius signalus, gaunamus iš ant vairo esančių valdiklių, todėl pavarų perjungimas yra tikslesnis ir patikimesnis nei mechaninių sistemų.
Mokslininkai įrodė, kad naudojant vos kelis šimtus dolerių kainuojančią įrangą galima įsilaužti į „Shimano“ sistemas, kurias plačiai naudoja pirmaujančios pasaulio dviračių sporto komandos, dalyvaujančios tokiose prestižinėse varžybose kaip olimpinės žaidynės ir „Tour de France“.
Sukurtu atakos modeliu galima imituoti signalus, perduodamus iš 9 metrų atstumo, ir priversti tikslinį dviratį netikėtai perjungti pavaras. Be to, įsilaužėliai gali užblokuoti pavarų perjungiklius, užrakindami dviratį netinkama pavara.
Pasak UCSD kompiuterių mokslo ir inžinerijos docento Erlenso Fernandezo, toks manipuliavimas gali rimtai sutrukdyti dviratininkui įkalnėje ar net sukelti pavojingą nestabilumą ekstremaliose trasos atkarpose. „Įsivaizduokite, kad važiuojate į kalną „Tour de France“ lenktynių etape: jei kas nors perjungs jūsų dviratį iš lengvos pavaros į sunkią, prarasite laiko, – aiškina Fernandezas.
Norėdamas pasinaudoti pažeidžiamumu, įsilaužėlis pirmiausia turi perimti tikslinio dviračio pavarų perjungimo signalus. Juos galima atkurti net po kelių mėnesių. Eksperimentui atlikti reikėjo 300 JAV dolerių kainuojančio programinės įrangos radijo imtuvo, antenų ir nešiojamojo kompiuterio. Tyrėjų teigimu, šį įrangos komplektą galima sumažinti tiek, kad jį būtų galima paslėpti trasos pakraštyje, dviračių komandos automobilyje ar net dviratininko užpakalinėje kišenėje.
Pasirodo, kad trikdyti belaidžius jungiklius naudojant tokį įrenginį yra daug lengviau nei signalo atkūrimo atakas. Mokslininkų teigimu, galima net nuskaityti visos dviratininkų grupės (pelotono) persijungimo signalus ir tada užblokuoti visų, išskyrus vieną asmenį, pavarų perjungimą.
Kovo mėnesį sužinojusi apie išvadas, „Shimano“ glaudžiai bendradarbiavo su mokslininkais, kad kuo greičiau išleistų pataisą. Neseniai „Shimano“ atstovas spaudai pareiškė, kad bendrovė „sukūrė naują programinės įrangos versiją, kad pagerintų ‚Di2‘ belaidžių sistemų saugumą“.
Ši pataisa jau pateikta profesionalioms dviračių sporto komandoms, naudojančioms „Shimano“ komponentus. Tačiau plačiajai visuomenei ji bus prieinama tik rugpjūčio pabaigoje. Bendrovė saugumo sumetimais neatskleidžia tikslios informacijos.
Pataisos diegimo klientams procesas dar nėra visiškai skaidrus. Bendrovė teigia, kad „dviratininkai gali atlikti galinio perjungiklio programinės įrangos atnaujinimą“ naudodamiesi „Shimano E-TUBE Cyclist“ išmaniojo telefono programėle. Tačiau neminima, ar pataisa bus taikoma priekiniam bėgių perjungimo mechanizmui.
Prof. Fernandezas mano, kad mažai tikėtina, jog bent jau artimiausiu metu įprasti dviratininkai taps tokios atakos taikiniu. Tačiau profesionalūs dviratininkai vis tiek turėtų atnaujinti įrangą.
Kaip nurodo ekspertai, panašių įsilaužimo metodų gali būti pažeidžiami ir kitų gamintojų belaidžiai bėgių perjungikliai. Jie sutelkė dėmesį tik į „Shimano“, nes ši bendrovė užima didžiausią rinkos dalį.
Profesionalaus dviračių sporto pasaulyje, kurį pastaraisiais dešimtmečiais krėtė dopingo skandalai, įsilaužimas į konkurentų perjungiklius gali tapti realybe. „Mūsų nuomone, tai yra kitokia dopingo rūšis“, – sako Fernandezas. – Jis tiesiog nepalieka pėdsakų.“
Platesniame kontekste tyrėjai savo darbą vertina kaip įspėjimą apie belaidžių elektroninių funkcijų plataus paplitimo pasekmes įvairiose technologijose – nuo garažo vartų iki automobilių ir dviračių.