黑客發(fā)飆!智能汽車不太安全你還敢開?
責編:admin |2014-08-20 14:42:49隨著各種智能設(shè)備的出現(xiàn),智能汽車也走進了人們的視線。如果你駕駛著2014年款的吉普Cherokee、2014年款英菲尼迪Q50或者2015年款Escalade,那你的汽車不僅具有先進的連接網(wǎng)絡(luò)的功能和自動化功能,同時你要知道這也是最可能被黑客攻擊的汽車。
這是著名研究人員Charlie Miller和Chris Valasek在他們對現(xiàn)代汽車最新漏洞研究中的結(jié)論。這兩位研究人員主要研究遠程攻擊,其中惡意攻擊者可以從遠處訪問汽車的網(wǎng)絡(luò),例如入侵其無線電臺,并發(fā)送指令到汽車的轉(zhuǎn)向或其他自動駕駛功能。
這兩位研究人員深入研究了現(xiàn)代汽車中的自動化和聯(lián)網(wǎng)功能,分析了攻擊者如何可能利用汽車的藍牙、遠程信息處理或者車載手機應用程序,然后利用這種訪問權(quán)限來控制汽車的物理功能,例如自動停車、轉(zhuǎn)向和制動。有些攻擊可能需要攻擊者在目標汽車的幾米范圍之內(nèi),但遠程控制的攻擊可能發(fā)生在更遠的距離。
毫不奇怪,具有更少計算機化和聯(lián)網(wǎng)功能的汽車更不太容易受到攻擊者的攻擊。“最容易受攻擊的汽車是具有聯(lián)網(wǎng)功能,并且位于網(wǎng)絡(luò)中,能夠互相通信的汽車,”作為Twitter安全工程師的Miller表示,“最不容易被攻擊的汽車擁有更少的功能,所以無線電無法與剎車通信。”
不同的汽車有著不同的網(wǎng)絡(luò)配置:有些將藍牙部署在與轉(zhuǎn)向和加速系統(tǒng)不同的網(wǎng)絡(luò)中。
研究人員稱,2014年款道奇Viper、2014款奧迪A8和2014款雅閣本田是最容易被攻擊的汽車。他們將奧迪A8排在這些汽車中最不容易受攻擊的汽車,因為其網(wǎng)絡(luò)訪問潛在攻擊面獨立于汽車的物理組件,例如轉(zhuǎn)向。“該車的每個功能都在不同的網(wǎng)絡(luò),通過網(wǎng)關(guān)連接,”Miller表示,“連接無線的計算機在與轉(zhuǎn)向不同的網(wǎng)絡(luò),這讓我們認為攻擊者更難控制其功能。”
相比之下,2014款吉普Cherokee是在相同的網(wǎng)絡(luò)運行網(wǎng)絡(luò)物理功能和遠程訪問功能,Valasek指出:“我們不能肯定地說,我們可以攻擊Jeep,而不是奧迪,但無線電可以與剎車連接,在Cherokee中,這兩個功能在同一網(wǎng)絡(luò)。”
在2013年DEF CON大會中,Miller和Valasek在汽車攻擊研究中展示了他們?nèi)绾文軌蚬艉涂刂?010款豐田普銳斯和2010款福特Escape的電子轉(zhuǎn)向、制動、加速、發(fā)動機和其他功能,在那之后,大家越來越關(guān)注汽車的網(wǎng)絡(luò)安全。其研究涉及當攻擊者進入汽車的內(nèi)部網(wǎng)絡(luò)后,他將能夠做什么,研究人員還展示了他們發(fā)現(xiàn)的攻擊。
這兩位研究人員向福特和豐田公司提供其發(fā)現(xiàn)的詳細文檔后,這兩家公司并沒有作出回應,但汽車產(chǎn)業(yè)似乎已經(jīng)開始意識到汽車面臨的潛在網(wǎng)絡(luò)風險:汽車制造商聯(lián)盟和全球汽車制造商協(xié)會上個月宣布計劃解決新的汽車自動化和聯(lián)網(wǎng)功能中的安全漏洞問題。這個行業(yè)正在形成自愿機制來共享汽車電子和車載網(wǎng)絡(luò)中的安全威脅情報,可能通過Auto-ISAC(信息分享和分析中心)。
“引擎蓋下”的IPS
與此同時,有一些方法可能可以鎖定現(xiàn)代汽車中的這些高級功能。Miller和Valasek已經(jīng)構(gòu)建了一個原型設(shè)備來檢測和阻止網(wǎng)絡(luò)攻擊。他們把它描述為汽車內(nèi)的入侵防御系統(tǒng)(IPS),它能夠檢測到攻擊者入侵到汽車的聯(lián)網(wǎng)無線電,并阻止攻擊者發(fā)送消息到制動系統(tǒng)來鎖定。
IOActive安全情報主管Valasek表示:“你可以將這個設(shè)備插入到汽車,來阻止我們發(fā)現(xiàn)的攻擊和其他攻擊。”
這兩位研究人員將在黑帽大會上展示該原型設(shè)備的視頻剪輯,以及它如何阻止攻擊者。該設(shè)備基本上是插入到汽車的診斷端口。
“這更多的是一種算法,來檢測攻擊和阻止它們,”Miller表示,“你可以將它放在引擎蓋下。”
Miller和Valasek表示他們研究汽車中的安全漏洞是為了走在威脅前面:現(xiàn)在汽車受到攻擊的風險還是比較低。而且這些安全風險這并不意味著你不應該購買先進的汽車。“這是一種機會型攻擊,”Valasek表示,“這需要大量的時間、精力和金錢來弄清楚如何執(zhí)行這些攻擊。一般用戶并不比太過擔心,但如果你的汽車中配置了很多技術(shù),才需要考慮這個問題。”
他們表示他們希望在攻擊者利用這些汽車網(wǎng)絡(luò)和自動化功能發(fā)動攻擊之前,讓大家意識到這些問題,他們認為這些攻擊將出現(xiàn)在未來五年內(nèi)。
他們已經(jīng)將其報告提供給了汽車制造商,他們希望汽車公司開始重視這些威脅,并提供方法來鎖定漏洞,以及技術(shù)來檢測和偏轉(zhuǎn)攻擊。
- 360助力“奧運冠軍之城”七臺河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財報
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應用白皮書