车联网遇上黑客怎么解决,车联网遇上黑客怎么解决问题

hacker|
111

超过200万辆奔驰曝出安全漏洞:智能汽车如何抵御黑客攻击?

在车联网领域,也许安全人员已经提前扑灭了数场不为人知的“森林大火”,但终有一天我们也许会面临一次前所未有的汽车安全威胁。但只要全球汽车产业链能够精诚合作,提升对于安全防护的重视程度,那么这场“大火”的发生,就可能被无限期推延。

作者丨周到

丰田“刹车门”、高田“气囊门”……传统汽车因为质量问题造成车辆大规模召回,乃至部分零部件企业破产的情况已经不胜枚举。但随着汽车智能化时代的到来,由车辆软件漏洞而带来的黑客攻击,将成为直接危及社会资产乃至人身安全的新威胁。这尽管在大多数人看来有些危言耸听,但随着一些过去不为人们所知的案例曝出,愈发严峻的现实正在我们面前展开。

2019年11月,360 SKY-GO安全研究团队宣布,他们和梅赛德斯奔驰共同发现并修复了19个安全漏洞。通过这些漏洞,黑客能实现批量远程开启车门、启动引擎等控车操作,影响涉及奔驰已经售出的200多万辆汽车,这也是迄今为止影响范围最广,涉及车辆最多的车联网漏洞挖掘事件。

360发布的《2019年智能网联汽车信息安全年度报告》

不过,奔驰的安全漏洞曝出并不是孤立事件。在360公司SKY-GO团队发布的《2019智能网联汽车信息安全年度报告》中首席出行官看到,过去一年的全球汽车出行产业,竟然因为黑客攻击造成了如此惨重的损失。

「数字钥匙存在漏洞,窃贼30秒盗走特斯拉Model S」

2019年4月,由戴姆勒投资建立的共享出行Car2Go在芝加哥有100辆豪华高端车被盗,被迫停止了在该地区的运营工作。更可怕的是,这其中的一部分车辆还被用作违法犯罪活动。根据相关研究人员披露,CarGo的APP遭到破解是导致这次车辆集体被盗的原因。最终经过一番抓捕,地区检察官对21位嫌疑人提出了指控,但恶劣的影响已经覆水难收。在多重因素的影响下,Car2Go在2019年6月宣布退出中国市场,并逐步缩减了在北美市场的业务。

由此可见,基于智能手机实现的数字车钥匙APP尽管带来了很多便利,但短板也非常明显。据介绍,数字钥匙的安全性不仅依赖于车钥匙上的环境载体安全芯片(SE)和可信执行环境(TEE)系统,其整个业务逻辑上的各个环境都需要紧密配合。比如安全的服务器,以及采用加密的传输通道和双向认证的传输协议。而在其中任何一个环节出现漏洞,那么整套流程就会被破解,进而让黑客窃取用户隐私,甚至取得车辆的远程控制权限。

首席出行官认为,对于普通车主来说,选择可靠的 *** 环境来使用数字车钥匙有助于规避这种风险。例如,不要在公共WIFI上使用APP解锁或控车,更好连接4G运营商的 *** 。但对于车企来说,防止这类风险更好的办法,莫过于定期梳理安全威胁并进行风险管理。

但由于车企和供应商此前缺乏关注,在2019年欧洲和美国曝出了多次对包括手机APP以及数字钥匙中的攻击事件。在英国,仅2019年前10个月就有超过14000多次针对数字钥匙的车辆盗窃事件,平均每38分钟就有一次盗窃发生,而小偷作案时间通常不超过30秒。这其中最知名的一次攻击,便是英国博勒姆伍德地区的一次特斯拉被盗案件。

在事件中,两个窃贼在30秒钟内,使用中继攻击设备成功盗走了1辆特斯拉Model S。在过程中,小偷利用一个中继类设备,现在车主房屋周围搜集特斯拉钥匙发送的信息,并进行识别和放大,让Model S以为钥匙就在车辆附近。在这个过程中,小偷并没有设计破解钥匙和车辆的认证算法机制,只是重放了中继设备采集车钥匙发送的信号,并没有篡改信号内容。而中继设备的价格也在日益降低,甚至有黑客在 *** 上非法销售。

随后,特斯拉更新了车钥匙算法,修复了漏洞。但经过研究人员的分析发现,常见的数字钥匙系统均存在未启用固件读写保护、使用缺乏双向认证机制的通信协议、缺少安全分区等问题。而此次事件中特斯拉钥匙的供应商同时也在为多家知名车厂提供方案,显然这也为破解留下了漏洞。

「智能汽车时代,安全漏洞可能成倍增加」

读者们可能都听说过,能否实现全车的在线升级,即“整车OTA”,成为了如今判断一辆车究竟是否为“智能汽车”的标准。车辆从分布式架构,逐步演进为域集中式架构和中央集中式架构。简而言之,车辆变得更像是智能手机,硬件不再像过去那样,只被某一个特定功能所独享。就像是车辆ADAS摄像头,不仅可以用做探测前方车辆以及道路标志线,未来还能够作为感应雨刷的探测器。

尽管这种做法能够提升车辆的智能化水平并降低硬件成本,但共享的硬件将会面临被非法调用、恶意占用等安全威胁。随着关键ECU(微控制器)的功能整合程度进一步提高,代码量的增加会导致漏洞随之增长。例如蔚来ES8在2019年知名的“长安街停车升级”事件,便是因为该公司未向用户提供终止升级并安全回滚到可用版本的功能所导致的。因此,车主在当时不得不在长安街主路上等待车辆升级完成。而SKY-GO团队的负责人告诉首席出行官,如果这项漏洞被黑客所利用,可能会导致后者使用拒绝服务攻击,让车辆无法正常启动。

那么问题就来了,汽车企业如何才能规避安全风险呢?这个问题需要从车辆和系统的开发,监控,运营等方面来解决。

首先,包括车企、供应商在内的汽车产业链上下游公司需要建立安全责任体系,并严格执行安全标准开发产品。其次,车企对黑客的攻击不能只是被动防御,还要对车辆、服务器等攻击面进行动态监控,主动发现攻击行为并及时阻断。只有这样才能够形成安全闭环,在提早发现威胁后,及时发布补丁程序。只有在造成严重影响之前解决问题,车企才能够避免遭受因召回、舆情负面带来的损失。毕竟作为一个事关生命安全的产品,汽车要比手机对安全更加敏感。

最后,车辆信息安全体系的搭建,绝对不只是车企以及供应商的事情。 *** 安全公司、高校乃至“白帽子”(发现漏洞后主动上报,提供修补线索的正面黑客),都应当成为车企在智能化时代的新盟友。早在2013年,特斯拉就设立了“安全研究名人堂”,用于表彰发现特斯拉产品漏洞的安全团队,360的SKY-GO、腾讯的科恩实验室都曾多次上榜。而在2016年,通用汽车也和致命的白帽黑客平台HackOne合作发布了“漏洞悬赏计划”。受到此前的教训,奔驰也计划在今年发起聚焦安全的“漏洞报告奖励”,邀请全球技术人员共同提升车辆的信息安全系数。

本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。

智能车时代,黑客是否能通过 *** 入侵并控制智能化的汽车?

相信很多车主都有一个这样的疑问:如果有一天,恶意的黑客恶意的入侵了汽车系统,让汽车失去控制怎么办?车联网的智能车是否足够安全呢?

很多人不知道车联网带来的便利,与之形成鲜明对比的是,更多的人对车联网所遭遇的安全问题一无所知。

6月21日,工信部发布《关于车联网 *** 安全标准体系建设的指导意见》,向社会公开征求意见。该文件包括了车联网 *** 安全标准体系的框架、重点标准化领域和方向。

工信部为何继续关注车联网?车联网的未来是怎样的?车联网的概念可以追溯到20年前。早在1996年,通用汽车公司(General Motors)就率先推出了搭载OnStar系统的联网汽车。车联网顾名思义,就是将智能汽车、行人、智能道路、指标连接在一起,实现智能出行的目的。

《证券日报》做过相关统计,在2019年,黑客通过入侵共享汽车的APP、改写程序和数据的方式,成功盗走的车辆多达100多辆,其中包括奔驰CLA、CLA小型SUV、Smartfortwo微型车等。在过去的5年里,针对智能汽车的攻击次数呈指数级增长,高达20倍,其中27.6%的攻击与车辆控制有关,这是一个重大的安全问题。

Upstream Security发布了2021年《汽车 *** 安全报告》,该报告衡量了2016年至2021年9月期间汽车 *** 安全事故的数量。报告发现,事故数量增加了6倍多。黑客给无数汽车 *** 行业带来损失,但在智能化的大趋势下,汽车不会因为黑客的存在和 *** 发展的停滞,本质、启明星、深信、绿色unita、arnhem、天信信息互联 *** 安全公司也参与了汽车产业链、产业安全防御体系的布局。

总的来说,黑客是可以通过 *** 入侵车联网的,但受于国家政策法规的限制,即使智能车存在漏洞黑客也不敢随意加以利用,目前智能车的安全性需要智能车相关领域的大多数汽车企业和供应商的关注和共同探索,使得智能车给我们生活带来的便利的同时不会受到黑客攻击的影响。

车联网可能会遇到哪些安全问题?如何避免?

1、车联网的实现。

实际上,物联网是“云+端+运营”的服务,通过前后端的整合互动,借助数据来获得更高效的运营和价值,这样的效果往往已经超过了传统意义上“端”作为传感器本身的价值。所以我们说,物联网的核心其实就是运营服务。

那么将汽车运输行业与具备运营服务的物联网结合起来,会呈现一种怎样的发展态势呢?这次瑞哥就会借助美国一家知名的汽车托运公司——DAS来为大家做个介绍。

DAS是一家在美国主营汽车托运的公司。在美国,不管是工作需要还是生活需要,来回之间的两地迁移都是很平常的事情,所以借助这样的市场需求,美国的汽车托运业务非常的发达,也培养出了许多优秀的汽车托运公司,比如:Bluesky、Auto-shipper、DAS等等。本文介绍的DAS就是全美更大的做汽车托运的公司。

2012年,DAS宣布与专业的物流智能化企业Peoplenet Online合作:后者向前者提供 *** 的硬件和软件系统,进而升级其整个运营平台。随后,Peoplenet Online在每一个运输车辆中加装了他们研发的一款名为Blue3.0的车载电脑,这款车载电脑集成了Sensor引擎,可以将诸如位置、速度、里程、状态等数据通过站场的WIFI或3G/4G模组,传递到Peoplenet Online的数据中心,并通过其Fleet Manager管理后台展示出来。

2、解读服务模式。

下面瑞哥试着借助这样的服务模式,为大家分析一下这其中的云计算分级,关于具体的云计算三级划分大家可以查看11月27日的文章。Peoplenet Online只是一个SaaS(软件服务)的云计算服务公司,它本身是建立在2lemetry的企业级物联网云平台Thing Fabric之上的(关于Thing Fabric平台可查看11月29日的文章),因此,2lemetry是一个纯粹的PaaS(平台服务)的云计算公司。再因为2lemetry使用的是AWS的EC2架构服务器,由于这款服务器是由Amazon提供,所以Amazon是真正的IaaS(基础设施服务)的公司。

通过这样的实际例子,相信大家会比较明白,云计算的架构在实际行业的分工中有多么细致。但在目前中国的物联网行业中,很多企业希望把全部的数据掌握在自己手中,纷纷投下巨额资金去做SaaS、PaaS,甚至是IaaS的架构,其实这样是会很危险的。

瑞哥认为,经济发展的趋势一定会是细致分工、掌握整合。目前很多企业的运营思路其实是缺少对宏观的了解,才会导致一些盲目投资的出现,在日后只要承载量达到一定数值,很快就会遇到扩容、安全、隐私、功耗等一系列问题。所以瑞哥想借这个例子,希望可以给大家一些第三方的建议,我们总说云计算很重要,但是真正到了执行,细致的战术尤为重要。

3、车联网的强大推动力。

Peoplenet Online利用硬件和软件,帮助DAS运营了整个物流管理流程,这样长期稳定的服务取得了这些成绩:

①通过内嵌的车载电脑,DAS可以记录整个车辆的状态信息。虽然车载电脑内置了3G、4G *** ,但因为目前的物流站几乎全部铺满了企业级的WIFI,所以站场内的通信基本依赖于WIFI,这个也是为什么物流手持机都要标配WIFI的原因。同样的,Peoplenet Online的硬件产品也可以依据此项需求,个性化的修改方案,使得产品与需求的贴合度更加完善;

Peoplenet Online会把这些数据上传到数据中心,并通过fleet Manager将数据可视化的展示出来,请注意,在这个软件平台中会涉及到客户中(这里的客户指的是DAS)的职员信息,包括调度人员、维修人员、IT人员等。

②减少了包括汽油费、运营费用等大笔开支。无论什么行业,其真正的发展还是要想办法创造经济效益,通过创造营收或者节省开支,推动行业发展,物联网也同样如此。瑞哥认为,其实中国做物流服务的公司完全可以开创一个生意模式来普及这样的产品,比如Peoplenet Online可以与DAS制定这样的方案:DAS无需向Peoplenet Online支付服务费,根据DAS每年1000万美金的汽油费,DAS只需要支付给Peoplenet Online70%的汽油费,并协议使用Peoplenet Online的服务和产品,则DAS的全部油费由Peoplenet Online来负担,借助这样的推广,瑞哥认为这个市场很快就可以普及物联网技术了。

维修人员通过软件界面关注车辆的即时状态,做出最快速的后端维护准备;企业管理人员通过专属的页面可以了解到整个团队效率的运行状况和对于整个公司运营的流程优化情况,并以量化的数据展示出来。

4、物联网服务的强大优势。

不止上面的亮点,Peoplenet Online还为DAS这样的物流公司提供了最为优化的流程服务业务,包括调度流程、加油流程等等,并且通过以上的服务为DAS带来收效不错的收益和成本的节省,比如:

①提高了用户满意度。

相对于竞争对手而言,DAS可以做到在得到用户需求的同时最快的调拨车辆,快速响应。同时,全程监控也避免了车辆在行驶中,因突发意外状况而造成客户货物延迟抵达的事件发生;

②做到了企业产品、服务的可管可控。

Peopletnet Online通过硬件将数据接入,这样可以保存数据在云端,并借助Driver Log的业务,软件平台可以将工作的内容进行充分的细化,用数据来指导和优化流程,做到有据可依;

③加速企业在云计算的推进,无论是安全,隐私还是扩容。

由于有专业的PaaS公司的介入,Peopletnet Online可以在不影响到基础架构的前提下,根据客户的需求进行扩容。使用非常灵活,即便内嵌了云端服务,也可以做到不使用就不用计费,实现最有效率的云部署。

瑞哥相信专业的物联网云平台的发展其实跟企业ERP的发展,拥有类似的轨迹。现在一个小的企业可能也会考虑使用专业划分软件来管理业务而不是用传统的Offce软件,比如:你会用管易通来做进销存的管理、你也会用金蝶来做财务的管理;国外的公司会用Salesforce来做CRM管理、用SAP来做内部的销售预测、价格和生产的管理。而就云端服务而言,瑞哥认为未来一定也会用2lemetry的Thing Fabric平台来做设备远程管理的软件。瑞哥觉得,专业的云服务平台一定可以为行业物联网的推进做出实在的贡献。

遇到黑客怎么办

查木马喽,他如果是黑客的话一定会借这次机会在你电脑你种木马,让你成为他的肉鸡的。你现在断网查木马就好。提醒你后门木马现在功能很强大,可以看见你屏幕上的任何东西,终止你运行的程序等等,所以杀的时候要断网,用360木马专杀

汽车联网软件面临着哪些安全问题?

汽车联网移动app检测和诊断技术是车辆安全运行的重要基础,随着车辆数量的增加,app的操作安全性已在生活的各个领域引起广泛关注。联网移动APP在为用户提供便利性和个性化体验的同时,也面临着许多信息安全威胁。我针对车联网移动APP目前存在的主要安全威胁做出了以下总结梳理:

1.客户端安全

客户端安全威胁主要包括配置安全、组件安全和代码安全。配置安全是指移动APP在正式发布前没有将Debug属性、allowbackup属性设置为false,造成移动APP存在调试风险、任意备份风险;组件安全是指APP在发布前没有对activity、service、content provider、broadcast receiver组件的exported属性进行合理设置,造成组件暴露风险;代码安全是指移动APP在发布前没有进行代码混淆和加固,攻击者利用dex2jar、Jadx、apktool等反编译工具,很容易就能获取到APP的源码,主要存在签名校验风险、Dex文件反编译风险、so文件反编译风险。

2.数据安全

车联网移动APP在使用的过程中,会在车主手机中存储用户信息,如开发者安全意识薄弱没有对用户的隐私信息进行加密处理,而是直接通过明文的方式存储于车主手机中,黑客只需要用户手机进行ROOT,理论上可以窃取用户的全部个人信息。此外,通过adb或者monitor查看实时打印日志,如果日志的输出没有做好等级控制,则存在敏感信息(用户名、密码等)泄露的风险。另外,为了保证数据的隐私和机密性往往对数据进行加密处理,密钥的安全存储至关重要,如果密钥被泄露,加密数据的安全性将荡然无存。数据安全面临的安全风险主要包括Shared Preference数据明文存储风险、SQLite数据明文存储风险、Logcat日志数据泄露风险和硬编码风险。

3.通信安全

车联网移动APP与TSP进行通信的过程中,大量用户隐私信息被传递,如果数据传输过程中没有对关键数据流量进行加密处理,则容易造成车辆或者用户隐私信息的泄露。此外,V2X通信过程中会传递大量的汽车远程控制信息,如车-人通信过程中用户通过车联网移动APP远程操控汽车,在此过程中如果未对通信双方身份进行认证,攻击者可以对通信报文进行劫持和篡改,对伪造的通信报文进行重放攻击,以达到操纵车辆的目的,对驾驶员的生命安全造成严重威胁。

另外,攻击者可以通过对车辆进行大量的重复试验,以此获得通信协议的相关先验知识,进而通过伪造汽车远程控制报文的方式对车辆发起攻击。通信安全威胁主要包括不安全的通信协议、不安全的身份验证、关键数据未加密等。

4.业务安全

此部分安全风险主要是指开发者没有严格地按照移动应用开发准则进行开发,对车联网移动APP的业务逻辑、功能模块处理不当,主要包含身份鉴别风险,例如任意用户登录风险、登录密码爆破风险、账号注销安全风险等;验证码机制风险,例如:验证码爆破风险、验证码回显风险、验证码无限发送风险等;支付机制风险,例如支付金额篡改风险、商品数量篡改风险;远程控制风险,例如汽车控制指令篡改风险、汽车控制指令重放风险;通用型Web漏洞风险,例如SQL注入漏洞、XSS漏洞、越权访问等。

网约车巨头Uber回应遭黑客攻击,该如何提高防范意识避免类似事件发生?

我觉得针对这种情况一定要加强 *** 监管,而且每个人都应该树立自我保护意识,提高警惕性,提升 *** 空间并做好维护,严格把控,还要时刻升级系统,对于信息采用保护加密的形式。

4条大神的评论

  • avatar
    访客 2022-09-23 下午 04:23:04

    联网是“云+端+运营”的服务,通过前后端的整合互动,借助数据来获得最高效的运营和价值,这样的效果往往已经超过了传统意义上“端”作为传感器本身的价值。所以我们说,

  • avatar
    访客 2022-09-23 下午 04:58:30

    团队,360的SKY-GO、腾讯的科恩实验室都曾多次上榜。而在2016年,通用汽车也和致命的白帽黑客平台HackOne合作发布了“漏洞悬赏计划”。受到此前的教训,奔驰也计划在今年发

  • avatar
    访客 2022-09-23 上午 10:09:41

    端维护准备;企业管理人员通过专属的页面可以了解到整个团队效率的运行状况和对于整个公司运营的流程优化情况,并以量化的数据展示出来。4、物联网服务的强大优势。不止上面的亮点,Peoplenet Online

  • avatar
    访客 2022-09-23 下午 05:58:56

    大趋势下,汽车不会因为黑客的存在和网络发展的停滞,本质、启明星、深信、绿色unita、arnhem、天信信息互联网络安全公司也参与了汽车产业链、产业安全防御体系的布

发表评论