Aktualizacje OTA w samochodach

Wielu właścicieli aut wciąż jest przekonanych, że na oprogramowaniu opiera się jedynie system informacyjno-rozrywkowy pojazdu, przez co bagatelizują znaczenie jego aktualizacji. Założenie to było prawdziwe jeszcze kilka lat temu, lecz w nowoczesnych samochodach praktycznie każda funkcja jest sterowana lub nadzorowana programowo, włącznie z tymi w systemach wspomagania kierowcy, kluczowymi dla bezpieczeństwa jazdy.

Więcej oprogramowania to niestety także więcej problemów z nim związanych. Głośno jest o nich przy okazji kolejnych ogłoszeń o wycofaniu z użytku konkretnych modeli pojazdów, liczonych w tysiącach a nawet nierzadko milionach sztuk, w których wykryto luki w oprogramowaniu. Nawet jeżeli jednak nie występują w nim poważne wady, tak jak komponenty sprzętowe muszą być regularnie konserwowane, tak te programowe trzeba aktualizować przez cały okres eksploatowania samochodu.

Tradycyjnie w tych celach właściciele aut co najmniej raz w roku planowo muszą odwiedzić serwis. W przypadku sprzętu wymagane są coraz częstsze aktualizacje oprogramowania. Konieczność wizyty w serwisie nie jest optymalnym rozwiązaniem ani dla właścicieli samochodów, ani ich producentów – dla pierwszych oznacza niewygodę, dla drugich koszty. Ponadto w razie zaniedbania tego obowiązku rośnie podatność przestarzałego oprogramowania na cyberataki, pracuje ono wolniej i częściej się zawiesza. To stanowi poważne zagrożenie bezpieczeństwa dla właścicieli aut i innych użytkowników dróg.

Czym są aktualizacje OTA?

Alternatywą są aktualizacje OTA (Over-The-Air), czyli udostępniane przez Internet bezpośrednio do odbiorcy – w tym przypadku samochodu – który je automatycznie pobiera i instaluje. Dzięki temu producent pojazdu nie naraża się na nadszarpywanie reputacji w związku z wycofywaniem aut z użytku z powodu oprogramowania, a ich właściciele nie muszą zajmować się tym aspektem ich konserwacji. Ponadto obecnie nowoczesne, naszpikowane elektroniką samochody na wartości tracą znacznie szybciej niż dawniej – regularne uaktualnianie ich oprogramowania do najnowszej wersji spowalnia ten proces.

Aby skorzystać z aktualizacji OTA, samochód musi być wyposażony w moduł TCU (Telematics Control Unit), stanowiący interfejs komunikacji mobilnej (Wi-Fi, LTE, 5G) i pamięć do przechowywania pobieranych danych. TCU musi również mieć możliwość odzyskania danych na wypadek konieczności usunięcia aktualizacji.

Pierwszym producentem aut, który z powodzeniem wdrożył mechanizm aktualizacji OTA, była firma Tesla. Inni producenci, jak General Motors i Ford, szybko poszli w jej ślady. Możliwość dostarczania aktualizacji przez Internet jest szczególnie istotna dla producentów samochodów elektrycznych, ponieważ pozwala im na jak najszybsze wprowadzenie nowych modeli aut na rynek i uzyskanie dzięki temu przewagi nad konkurencją, a jednocześnie dalsze prace nad ich ulepszaniem już po ich sprzedaży.

Typy i mechanizm aktualizacji OTA

W zależności od tego, jaki typ aplikacji jest zdalnie pobierany, wyróżnia się następujące rodzaje aktualizacji OTA: SOTA (Software OTA), FOTA (Firmware OTA), OTASP (OTA Service Provisioning), OTAP (OTA Provisioning) oraz OTAPA (OTA Parameter Administration). Mechanizm ich udostępniania jest następujący: najpierw Device Management System producenta przygotowuje i ogłasza nową aktualizację. Następnie jest ona przesyłana do chmury, gdzie jest umieszczana w kolejce, a w końcu pobierana oraz weryfikowana przez urządzenie docelowe, w tym przypadku pojazd. Po zweryfikowaniu aktualizacji urządzenie wyzwala alert, który wymaga od właściciela samochodu jej zatwierdzenia lub odrzucenia. Po uzyskaniu potwierdzenia, ręcznego albo automatycznego, system operacyjny instaluje ją, a po zakończeniu instalacji przesyła informacje diagnostyczne do producenta.

Obecnie najczęściej w chmurze udostępniane są aktualizacje SOTA dla systemów informacyjno-rozrywkowych i nawigacyjnych. Uaktualniają one też oprogramowanie sterujące mechanicznymi i elektronicznymi podzespołami pojazdu. Aktualizacje SOTA są jak na razie najpowszechniejsze – są przynajmniej częściowo oferowane przez wszystkich znaczących producentów samochodów elektrycznych. W przeciwieństwie do nich aktualizacje FOTA udostępnia tylko niewielka liczba producentów aut, w tym firmy Tesla i chińskie NIO. Wynika to stąd, że wymagają one większej mocy obliczeniowej, szybszej transmisji i wyższego poziomu cyberbezpieczeństwa niż SOTA. Oferta wiodących producentów pojazdów w zakresie aktualizacji OTA jest zróżnicowana. Dalej przedstawiamy jej przegląd.

Aktualizacje OTA od czołowych producentów

Audi oferuje aktualizacje OTA tylko dla map. Są one regularnie wydawane i można je pobierać przez Wi-Fi. BMW po raz pierwszy udostępniło poprawki OTA w 2018 roku i od tamtej pory rozszerza ofertę w tym zakresie dla większości modeli produkowanych aut. Obejmują tylko systemy informacyjno-rozrywkowe – dostępne są aktualizacje składników oprogramowania zainstalowanych i dodatkowych o opcjonalnej funkcjonalności, które można dokupić. Poza tym BMW zapewnia aktualizacje OTA dla systemu wspomagania kierowcy ADAS, ale w ograniczonym zakresie.

Ford to kolejny producent pojazdów o ugruntowanej pozycji na rynku motoryzacyjnym, który próbuje się odnaleźć również w segmencie samochodów elektrycznych. Możliwość aktualizacji OTA udostępnił w 2020 roku – obecnie są one dostępne m.in. dla popularnych modeli Mustang Mach-E oraz 2022 F-150 Lightning. General Motors oferuje poprawki przez Internet już od 2009 roku, za pośrednictwem platformy OnStar i pokładowego systemu informacyjno- rozrywkowego. W 2019 roku firma wprowadziła też usługę Vehicle Intelligence Platform, która umożliwia wysyłanie aktualizacji OTA również do modułów sterujących pojazdem, a w 2021 platformę Ultifi, upraszczającą zdalne uaktualnianie oprogramowania. Honda oferuje obecnie ograniczone poprawki OTA i tylko dla wybranych aut. Obejmują oprogramowanie wyłącznie systemów informacyjno-rozrywkowych (nawigacji, funkcji CarPlay) za pośrednictwem usługi HondaLink.

Podobnie Hyundai Motor Group jest nieco w tyle – obecnie firma zapewnia zdalne aktualizacje tylko modelom Hyundai Sonata, Ioniq, Kia K9, Genesis G90. Mercedes-Benz oferuje poprawki OTA mniej więcej co trzy miesiące, jednak jedynie dla funkcji nawigacyjnych i informacyjno-rozrywkowych. Podobnie Nissan, za pośrednictwem usługi NissanConnect, udostępnia zdalne poprawki tylko oprogramowania informacyjno- rozrywkowego do pobrania przez Wi-fi i sieć komórkową.

Toyota swoją ofertę w zakresie aktualizacji OTA ma zamiar rozszerzyć dzięki nowemu systemowi operacyjnemu Arene. Volkswagen poprawki przez Internet zaczął udostępniać w 2021 roku, oferując aktualizacje dla serii pojazdów elektrycznych ID. Tesla jest pionierem w dziedzinie aktualizacji OTA – po raz pierwszy udostępniła je w 2012 roku, wprowadzając na rynek model S sedan, wraz z Modelem 3, oferując też poprawki FOTA.

Bezpieczeństwo aktualizacji OTA

Chociaż technika zdalnej aktualizacji jest wygodna, staje się furtką dostępu do aut, z której mogą korzystać cyberprzestępcy. Ingerencja w poprawkę oprogramowania może mieć katastrofalne skutki, jeżeli pozwoli na przejęcie kontroli nad pojazdem hakerom, chcącym na przykład: doprowadzić do wypadku, uwięzić pasażerów lub wykorzystać pojazd do przeprowadzenia zamachu terrorystycznego. Dlatego bezpieczeństwo aktualizacji przez Internet jest kwestią o najwyższym priorytecie, do której producenci aut muszą podchodzić znacznie bardziej rygorystycznie niż producenci urządzeń przenośnych, jak smartfony. W związku z tym istnieje wiele technik proponowanych i już wdrażanych w celu zapewnienia cyberbezpieczeństwa aktualizacji OTA.

Jak zapewnić bezpieczeństwo poprawek OTA?

Bezpieczeństwo informacji cyfrowej jest oparte na trzech filarach: integralności, dostępności i poufności. Pierwsza jest najważniejsza – naruszenie integralności danych jest niedopuszczalne niezależnie od przyczyny (awarii sprzętu, błędu ludzkiego, cyberataku). Jeżeli chodzi o drugą, uwzględnić należy pogorszenie lub utratę dostępności samochodu, komponentów systemu lub oprogramowania oraz samego mechanizmu aktualizacji oprogramowania. Przykładowo haker może wykorzystać ten ostatni do przeprowadzenia ataku typu DoS za pośrednictwem floty aut albo spowodować jego awarię w celu opóźnienia załatania znanych luk w oprogramowaniu aut, żeby je w międzyczasie wykorzystać. Trzeci filar wymaga zapobiegania wszelkim wyciekom danych, nie tylko na etapie transmisji.

W przypadku zdalnej aktualizacji oprogramowania zapewnienie integralności nie wystarczy – wymagane jest też potwierdzenie autentyczności danych.

Aby zapewnić wszystkie te cechy danych w systemie aktualizacji przez Internet, należy wdrożyć odpowiednie rozwiązania w jego poszczególnych segmentach i na wszystkich etapach przygotowywania i dystrybucji poprawek. Pierwszym jest tworzenie kodu i konwersja do postaci binarnej. Następnie jest rozsyłany do odbiorców, a ostatecznie instalowany. Między tymi etapami kod jest narażony na manipulację. Podstawowy sposób na jej wykrycie to mechanizm podpisu cyfrowego. Do jego tworzenia wykorzystywanym jest klucz prywatny, przesyłany razem z kodem binarnym aktualizacji oprogramowania. W miejscu docelowym podpis cyfrowy poddaje się weryfikacji przy użyciu klucza publicznego. W razie jej pozytywnego wyniku poprawka jest instalowana.

Podpis cyfrowy jako dowód autentyczności pliku jest konieczny, ale niewystarczający z kilku powodów – na przykład chociaż autentyczna, poprawka może być nieaktualna, a zatem zawierać luki w zabezpieczeniach. W związku z tym poza poprawką należy przesyłać i również zabezpieczać podpisem cyfrowym metadane z informacją o dacie wydania aktualizacji i innymi niezbędnymi, na przykład o jej zależnościach z innymi aktualizacjami. Poufność kodu gwarantuje z kolei jego szyfrowanie. Należy przy tym zachować ostrożność, żeby uniknąć słabych punktów, które umożliwią wyciek danych – na przykład jeżeli są zaszyfrowane tylko do momentu, kiedy zostaną odebrane w aucie, a po odkodowaniu w postaci niezaszyfrowanej do docelowego komponentu są przesyłane podatną na ataki magistralą CAN. Bez względu na to, jak silny algorytm szyfrowania zastosowano wcześniej ani jak udoskonalono mechanizm podpisu cyfrowego, konkurencja może wówczas łatwo uzyskać dostęp do kodu aktualizacji, a dzięki inżynierii wstecznej do zastrzeżonych rozwiązań danego producenta.

Przepisy

Branża samochodowa reaguje na zagrożenia cyberbezpieczeństwa. Na przykład wspólna grupa robocza ISO i SAE (Society of Automotive Engineers) opracowała standard ISO/SAE 21434 dotyczący cyberbezpieczeństwa w motoryzacji. Obejmuje on cały cykl życia samochodu, od koncepcji do jego wycofania z eksploatacji oraz określa wymagania i działania na poziomie organizacyjnym. Ramy regulacyjne dla innowacji technologicznych, dzięki którym pojazdy będą bezpieczniejsze i przyjaźniejsze środowisku, opracowała także jedna z grup roboczych UNECE (United Nations Economic Commission for Europe). Obejmują one m.in.: analizę zagrożeń cyberbezpieczeństwa pojazdów, ich zabezpieczanie na wstępnym etapie w celu złagodzenia ryzyka w łańcuchu dostaw, wykrywanie i reagowanie na incydenty związane z bezpieczeństwem flot aut oraz zapewnienie bezpiecznych aktualizacji oprogramowania.

Na tym ostatnim koncentrowała się organizacja ISO, opracowując standard ISO 24089 pt. „Pojazdy drogowe. Inżynieria aktualizacji oprogramowania”, który stanowi uzupełnienie rozporządzenia ONZ nr 156 z przepisami dotyczącymi homologacji pojazdów w zakresie aktualizacji oprogramowania oraz systemu zarządzania nimi. ISO 24089 dotyczy nie tylko wymagań technicznych stawianych aktualizacjom i generalnie cyberbezpieczeństwa w całym cyklu życia pojazdu, ale także wymagań organizacyjnych i proceduralnych dla całego łańcucha dostaw w branży motoryzacyjnej.

Podsumowanie – pomysł na biznes

Aktualizacje OTA nie przynoszą korzyści wyłącznie użytkownikom pojazdów. Okazuje się bowiem, że producenci aut dostrzegli w nich okazję do zarobku – dzięki nim będą mogli przejść na model rozliczeniowy oparty na usługach, a nie na jednorazowej sprzedaży samochodu albo ciężarówki. W ten sposób zarabia już m.in. Tesla, oferując odpłatne uaktualnienia.

Monika Jaworowska