Ugotovljena je bila varnostna napaka, ki bi lahko vplivala na milijone avtomobilov, pri čemer raziskovalci opozarjajo, da morda ni na voljo nobenega popravka za zaščito občutljivih vozil. Izkoriščanje deluje tako, da preobremeni tako imenovano CAN ali "omrežje avtomobilskih naprav", ki povezuje vse različne vidike sodobnih vozil. S pravo kodo bi lahko bistvene dele varnostnih elementov avtomobila – kot so zračne blazine ali protiblokirne zavore – izklopili.
CAN je ISO leta 1993 sprejel kot standard za cestna vozila, čeprav ga je leta 1983 razvil Bosch. To je dejansko živčni sistem, prek katerega komunicirajo različne komponente in tehnologije v avtomobilu, ki obsega vse od funkcije za udobje in priročnost, kot sta sistem HVAC in infotainment, do vitalne tehnologije, kot sta krmilni modul motorja in moč krmiljenje.
Vsak razdelek komunicira prek sporočil, znanih kot "okvirji", in je zasnovan kot samokontrolni sistem, ko gre za napake. Če je izdan slab okvir, lahko naprava, priključena na CAN, odredi njegov odpoklic. Če naprava izda preveč okvirjev z napakami, je prisiljena v stanje »Bus Off«, kjer je potisnjena v način brez povezave in dejansko izklopljena.
Ta na novo identificiran podvig, ročno delo Politecnico di Milano, Linklayer Labs in Trend Labs' V prihodnost usmerjena skupina za raziskavo groženj (FTR) izkorišča to vedenje. Namesto da bi skozi sistem poskušal vtakniti okvir z napakami, namesto tega s takšnimi sporočili preplavi CAN. Po določeni točki, pri ponovni uporabi okvirjev, ki že krožijo znotraj CAN, je mogoče različne sisteme prisilno prekiniti.
"To pa lahko drastično vpliva na zmogljivost avtomobila do te mere, da postane nevarno in celo smrtno," raziskovalci pojasnjujejo, "še posebej, če gre za bistvene sisteme, kot sta sistem zračnih blazin ali protiblokirni zavorni sistem deaktivirano."
Specifična ranljivost posameznega vozila je odvisna od številnih dejavnikov. Teoretično je možno, pravijo raziskovalci, da bi lahko prišlo do oddaljenega vdora, če bi vdelana programska oprema katerega koli dela ECU podpirala daljinsko reprogramiranje. Na primer, če je proizvajalec avtomobilov omogočil podporo za dodajanje novih funkcij v informacijsko-razvedrilni sistem, bi to lahko tudi zagotovilo stranska vrata za hekerje, da uvedejo preplavljanje okvirjev.
Tudi če to ni mogoče, lokalni napad je. Diagnostična vrata OBD-II, obvezna vtičnica na vseh avtomobilih od 90. let prejšnjega stoletja, že uporabljajo številni podjetja, da odklenejo meritve vožnje in pojasnijo, kaj točno skrivnostna lučka "preverite motor" v resnici pomeni. Vendar bi ga lahko nekdo z bolj zlobnimi nameni uporabil za spreminjanje CAN-a, če bi imel fizični dostop.
"Tradicionalno scenarij, v katerem bi lahko napadalec tako dostopal do avtomobila, ni le redek, ampak je za napadalca tudi zelo tvegan," poudarjajo raziskovalci. "To je morda veljalo že takrat, toda s trenutnimi prometnimi trendi, kot so deljenje prevozov, skupna vožnja, in najema avtomobilov, scenarij, kjer ima lahko več ljudi lokalni dostop do istega avtomobila, je zdaj več običajno."
Na žalost je bil regulator US/ICS-CERT obveščen in izdan varnostni bilten, jedro CAN pomeni, da ni enostavne rešitve. Nekateri proizvajalci avtomobilov bodo morda lahko posodobili svojo programsko opremo, da bi zmanjšali vpliv preplavljanja okvirja, mnogi pa tega ne bodo storili. Dejansko bi lahko najenostavnejši način obravnavanja te možnosti zavaroval vrata ODB z nekakšnim pokrovom za zaklepanje.
Predlaga se, da je najboljša rešitev prenova samega sistema CAN, da prihodnja vozila ne bodo tako ranljiva. To bo nedvomno zahtevalo veliko dela in časa in ni možnosti, da bi obstoječa vozila na cestah naknadno opremila z novim sistemom.