黑客攻击前方车,黑客控制汽车

hacker|
285

为什么汽车会被黑客控制

如果有一天,你高速行驶在路上,突然发现方向盘不受你的控制,并且猛然转向一边;再或者你的车行驶中突然制动失效,你可曾想过后果?这些情景可不是美国大片中的电影情节,而是黑客通过远程控制车辆后造成车辆失控的情形。

前几日看到一条新闻,是说美国黑帽安全技术大会上,两位美国专家可以通过黑客技术,实现通过远程控制操作导致车辆失控。看了这篇文章后,笔者好生恐惧,特别请教了易车问答专家团队的董建刚和冯冕两位专家(以下简称董老师和冯老师),请他们来给大家普及一下车联网时代黑客的知识。

【什么叫车联网、车载信息娱乐系统?】

很多人看到这里会有个疑惑,你不直接说专家的硬货,没事聊什么车联网和车载信息娱乐系统?笔者先卖个关子,因为这两个如果我不交代明白,后面董老师和冯老师那接地气的高大上回答,你准保看不明白!

车联网概念引申自物联网,根据行业背景不同,对车联网的定义也不尽相同。随着车联网技术与产业的发展,根据车联网产业技术创新战略联盟的定义,车联网是以车内网、车际网和车载移动互联网为基础,按照约定的通信协议和数据交互标准,在车-X(X:车、路、行人及互联网等)之间,进行无线通讯和信息交换的大系统 *** ,是能够实现智能化交通管理、智能动态信息服务和车辆智能化控制的一体化 *** ,是物联网技术在交通系统领域的典型应用。(例如沃尔沃SENSUS、凯迪拉克的CUE等)

车载信息娱乐系统(In-Vehicle Infotainment 简称IVI),是采用车载专用中央处理器,基于车身总线系统和互联网服务,形成的车载综合信息处理系统。IVI能够实现包括三维导航、实时路况、IPTV、辅助驾驶、故障检测、车辆信息、车身控制、移动办公、无线通讯、基于在线的娱乐功能及TSP服务等一系列应用,极大的提升的车辆电子化、 *** 化和智能化水平。

【黑客怎样控制车辆? 】

黑客是怎样控制我们的车辆呢?相信很多人都有跟编辑有一样的疑惑,单就这个问题,冯老师表示:黑客控制车辆的手段多种多样,归纳起来有三种途径:

一、通过车载的无线通讯系统,如WI-FI、蓝牙、无钥匙一键启动和某些整车厂商自有的车载通讯定位系统。

二、通过车载移动 *** 系统,应用最多的如GPS卫星定位导航系统。

三、通过某些车型的自动泊车、自动防追尾距离探测器、车道变化盲区探测器等。

【所有车都可以被控制吗?】

董老师表示:现在的电喷车都有行车电脑,但是被黑客控制这种情况的发生是有局限性的。首先,有行车电脑并不会被“黑”,被黑的前提一定是远程的。而远程功能一定建立在开放性通讯及无线传输或SSID的功能上的。所以矛盾点也出来了,要想充分利用全球的 *** 资源,一定是采用国际通用的通讯协议和通用技术,就像当前的JAVA技术,来源于SUN公司早期的协议规范,而采用通用成熟的技术,一般就相当于公布了源代码。所以,不良软件便会通过通用源代码威胁到车辆系统。

需要提示的是,汽车的动力电脑和行车电脑目前并不具备远程功能,即使目前部分高端车型上装备的,也只是通过GPS进行的受字节控制的文本,并不能产生太多的不良作用,真正会被黑的载体是汽车今后会普遍采用的车载信息娱乐系统。只有这样,才有无尽的资源被车主使用,也会有更多的功能被添加进娱乐系统。包括汽车管家,旅行伴聊,导航,或更加智能的人机对话功能。所以,目前看,只有装备了智能娱乐系统的汽车,才存在风险。

【蓝牙、WIFI等设备的加入是否意味着被黑更容易?】

董老师的观点是肯定的。他举例说,就像是汽车本身的发展一样。理论上说功能越多越先进,出现故障的几率越大,道理是一样的。但蓝牙不容易被侵入,一是距离上有约束条件,仅10米左右,二是蓝牙协议约定,只能是一对一通讯,且需要许可方能接入。所以它不会产生过多的影响,但会存在一定潜在风险。

如果说蓝牙还是潜在风险,那么WIFI技术就是可以随时、随意的侵入的技术,因为WIFI协议是公开的,且一般对距离要求不太严格,只是发射功率的问题。包括有些不怀好意的WIFI,其功率甚至大于中国移动和联通,让手机无法实现正常通讯,并强行侵入,这方面技术是成熟的,其来源是军事上的电磁战。综合来说,更多智能的车载设备的加入,的确给黑客提供了更多攻击的可能性。

【黑客控制一个车辆,是否意味可以控制同品牌同型号所有车型?】

相信不少网友都会担心这个问题,那就是破解了一个车辆,是否相当于破解了全部同型号车辆?就这个问题专家表示:因为汽车各系统的基本工作原理大同小异,加之现在整车厂商越来越多的将平台概念应用到车型的开发当中,在同一平台上衍生出很多不同的车型,这些车型的行车电脑的基本程序和参数是一样的,理论上讲如果黑客成功的控制了同平台或者同品牌的一辆车,就意味着可以采用相同的技术手段控制其他使用相同程序行车电脑的车辆。

研发机构不会允许黑客随意控制汽车安全的情况发生,厂商是有一定安全机制的,包括增加使用角色权限等等。编辑也觉得大家不必过分担心,道理就跟现在的电脑操作系统一样,研发人员会不停的生产补丁来堵上可能给黑客提供机会的漏洞,这个过程就是个双方博弈的过程,我们消费者是无法掌控的。

【黑客遥控汽车离我们是否遥远?是否可以预防?】

随着蓝牙、WI-FI、一键启动无钥匙进入、自动泊车、无线胎压监测、随速电子转向助力、道路自适应校正、自动防追尾、车道变化盲区警示等系统在汽车上的普及应用,黑客遥控汽车离我们越来越近。

至于如何预防,专家认为:我们是无法阻止技术进步的,肯定会有少数人把技术用在不良的地方,就像任何地方都存在犯罪一样,无法杜绝。而且作为普通消费者而言,对车辆的认知基本都是局限于安全驾驶和一般的保养维护的层面。对于汽车黑客和车载的各种无线和有线的电子控制系统这两种专业性极强的领域,从目前的形式看,依靠消费者自身的知识和能力进行防范是不现实的,道高一尺魔高一丈,再高明的黑客也是要利用汽车的系统漏洞,来进行对车辆的攻击和控制的。防范汽车黑客攻击行之有效的办法是整车厂商强化对车辆各系统的安全预防措施,未雨绸缪和亡羊补牢都不失为整车厂商对消费者负责的态度。当然我们在日常的用车中,也要注意用车的安全,这点同样也很重要。

不知道大家看完专家的解读后,是否对车联网时代的黑客有了新的认知?编辑认为事物都有两面性,如何正确对待和提升防护意识才是最重要的。

超过200万辆奔驰曝出安全漏洞:智能汽车如何抵御黑客攻击?

在车联网领域,也许安全人员已经提前扑灭了数场不为人知的“森林大火”,但终有一天我们也许会面临一次前所未有的汽车安全威胁。但只要全球汽车产业链能够精诚合作,提升对于安全防护的重视程度,那么这场“大火”的发生,就可能被无限期推延。

作者丨周到

丰田“刹车门”、高田“气囊门”……传统汽车因为质量问题造成车辆大规模召回,乃至部分零部件企业破产的情况已经不胜枚举。但随着汽车智能化时代的到来,由车辆软件漏洞而带来的黑客攻击,将成为直接危及社会资产乃至人身安全的新威胁。这尽管在大多数人看来有些危言耸听,但随着一些过去不为人们所知的案例曝出,愈发严峻的现实正在我们面前展开。

2019年11月,360 SKY-GO安全研究团队宣布,他们和梅赛德斯奔驰共同发现并修复了19个安全漏洞。通过这些漏洞,黑客能实现批量远程开启车门、启动引擎等控车操作,影响涉及奔驰已经售出的200多万辆汽车,这也是迄今为止影响范围最广,涉及车辆最多的车联网漏洞挖掘事件。

360发布的《2019年智能网联汽车信息安全年度报告》

不过,奔驰的安全漏洞曝出并不是孤立事件。在360公司SKY-GO团队发布的《2019智能网联汽车信息安全年度报告》中首席出行官看到,过去一年的全球汽车出行产业,竟然因为黑客攻击造成了如此惨重的损失。

「数字钥匙存在漏洞,窃贼30秒盗走特斯拉Model S」

2019年4月,由戴姆勒投资建立的共享出行Car2Go在芝加哥有100辆豪华高端车被盗,被迫停止了在该地区的运营工作。更可怕的是,这其中的一部分车辆还被用作违法犯罪活动。根据相关研究人员披露,CarGo的APP遭到破解是导致这次车辆集体被盗的原因。最终经过一番抓捕,地区检察官对21位嫌疑人提出了指控,但恶劣的影响已经覆水难收。在多重因素的影响下,Car2Go在2019年6月宣布退出中国市场,并逐步缩减了在北美市场的业务。

由此可见,基于智能手机实现的数字车钥匙APP尽管带来了很多便利,但短板也非常明显。据介绍,数字钥匙的安全性不仅依赖于车钥匙上的环境载体安全芯片(SE)和可信执行环境(TEE)系统,其整个业务逻辑上的各个环境都需要紧密配合。比如安全的服务器,以及采用加密的传输通道和双向认证的传输协议。而在其中任何一个环节出现漏洞,那么整套流程就会被破解,进而让黑客窃取用户隐私,甚至取得车辆的远程控制权限。

首席出行官认为,对于普通车主来说,选择可靠的 *** 环境来使用数字车钥匙有助于规避这种风险。例如,不要在公共WIFI上使用APP解锁或控车,更好连接4G运营商的 *** 。但对于车企来说,防止这类风险更好的办法,莫过于定期梳理安全威胁并进行风险管理。

但由于车企和供应商此前缺乏关注,在2019年欧洲和美国曝出了多次对包括手机APP以及数字钥匙中的攻击事件。在英国,仅2019年前10个月就有超过14000多次针对数字钥匙的车辆盗窃事件,平均每38分钟就有一次盗窃发生,而小偷作案时间通常不超过30秒。这其中最知名的一次攻击,便是英国博勒姆伍德地区的一次特斯拉被盗案件。

在事件中,两个窃贼在30秒钟内,使用中继攻击设备成功盗走了1辆特斯拉Model S。在过程中,小偷利用一个中继类设备,现在车主房屋周围搜集特斯拉钥匙发送的信息,并进行识别和放大,让Model S以为钥匙就在车辆附近。在这个过程中,小偷并没有设计破解钥匙和车辆的认证算法机制,只是重放了中继设备采集车钥匙发送的信号,并没有篡改信号内容。而中继设备的价格也在日益降低,甚至有黑客在 *** 上非法销售。

随后,特斯拉更新了车钥匙算法,修复了漏洞。但经过研究人员的分析发现,常见的数字钥匙系统均存在未启用固件读写保护、使用缺乏双向认证机制的通信协议、缺少安全分区等问题。而此次事件中特斯拉钥匙的供应商同时也在为多家知名车厂提供方案,显然这也为破解留下了漏洞。

「智能汽车时代,安全漏洞可能成倍增加」

读者们可能都听说过,能否实现全车的在线升级,即“整车OTA”,成为了如今判断一辆车究竟是否为“智能汽车”的标准。车辆从分布式架构,逐步演进为域集中式架构和中央集中式架构。简而言之,车辆变得更像是智能手机,硬件不再像过去那样,只被某一个特定功能所独享。就像是车辆ADAS摄像头,不仅可以用做探测前方车辆以及道路标志线,未来还能够作为感应雨刷的探测器。

尽管这种做法能够提升车辆的智能化水平并降低硬件成本,但共享的硬件将会面临被非法调用、恶意占用等安全威胁。随着关键ECU(微控制器)的功能整合程度进一步提高,代码量的增加会导致漏洞随之增长。例如蔚来ES8在2019年知名的“长安街停车升级”事件,便是因为该公司未向用户提供终止升级并安全回滚到可用版本的功能所导致的。因此,车主在当时不得不在长安街主路上等待车辆升级完成。而SKY-GO团队的负责人告诉首席出行官,如果这项漏洞被黑客所利用,可能会导致后者使用拒绝服务攻击,让车辆无法正常启动。

那么问题就来了,汽车企业如何才能规避安全风险呢?这个问题需要从车辆和系统的开发,监控,运营等方面来解决。

首先,包括车企、供应商在内的汽车产业链上下游公司需要建立安全责任体系,并严格执行安全标准开发产品。其次,车企对黑客的攻击不能只是被动防御,还要对车辆、服务器等攻击面进行动态监控,主动发现攻击行为并及时阻断。只有这样才能够形成安全闭环,在提早发现威胁后,及时发布补丁程序。只有在造成严重影响之前解决问题,车企才能够避免遭受因召回、舆情负面带来的损失。毕竟作为一个事关生命安全的产品,汽车要比手机对安全更加敏感。

最后,车辆信息安全体系的搭建,绝对不只是车企以及供应商的事情。 *** 安全公司、高校乃至“白帽子”(发现漏洞后主动上报,提供修补线索的正面黑客),都应当成为车企在智能化时代的新盟友。早在2013年,特斯拉就设立了“安全研究名人堂”,用于表彰发现特斯拉产品漏洞的安全团队,360的SKY-GO、腾讯的科恩实验室都曾多次上榜。而在2016年,通用汽车也和致命的白帽黑客平台HackOne合作发布了“漏洞悬赏计划”。受到此前的教训,奔驰也计划在今年发起聚焦安全的“漏洞报告奖励”,邀请全球技术人员共同提升车辆的信息安全系数。

本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。

黑客真的能入侵我们的汽车吗

黑客是如何入侵汽车的?

显然,互联网入侵的关键在于连接,如果没有 *** 连接,则无法构成入侵的基本条件。入侵汽车,首先需要汽车具备 *** 连接功能,形式可以通过物理连接或是如蜂窝、蓝牙、WIFI等无线连接。据报告显示,马萨诸塞州议员的汽车攻击事件,便是通过汽车内置的蜂窝数据 *** 实现入侵。

也就是说,如果汽车配备了OnStar系统或是其他类似功能,则有可能被入侵。如果系统涉及到制动系统,那么隐患显然更大。华盛顿大学计算机科学家们通过测试,证明了这一理论的可行性。

汽车被入侵的可能性大吗?

虽然听上去非常可怕,但可以肯定的是,入侵汽车实际上非常复杂,要比通常的计算机入侵、病毒更为复杂,黑客们需要发现汽车系统的漏洞才能实现入侵。但不能忽视的是,在各大科技、汽车公司均大力发展智能汽车系统的情况下,这种担心是有必要的。毕竟,汽车不同于手机、电脑,一旦被入侵,人们的生命会受到更大威胁。所以,整个产业群都应该更加关注智能汽车系统、自动驾驶汽车的安全性,提供更为严谨的加密机制。

1条大神的评论

  • avatar
    访客 2022-09-18 下午 10:26:29

    和梅赛德斯奔驰共同发现并修复了19个安全漏洞。通过这些漏洞,黑客能实现批量远程开启车门、启动引擎等控车操作,影响涉及奔驰已经售出的200多万辆汽车,这也是迄今为止影响范围最广,涉及车辆最多

发表评论