聯(lián)網(wǎng)系統(tǒng)頻遭破解 看不見的安全漏洞成智能汽車最大威脅
發(fā)布時間:2018-04-20 14:45
此時����,很多人正在享受智能汽車帶給的便利�,比如無需動手,輕聲細語的一句語音指令���,愛車就自動開啟空調(diào)�、天窗�,選擇最愛的流行音樂……??墒侵悄芷囋谪S富用戶生活的同時,很可能也在威脅人身和財產(chǎn)安全�����。這一切的幕后黑手——智能網(wǎng)聯(lián)汽車系統(tǒng)漏洞���。
目前已經(jīng)發(fā)現(xiàn)的漏洞涉及到TSP平臺�、APP應(yīng)用�����、Telematics Box(T-BOX)上網(wǎng)系統(tǒng)���、車機IVI系統(tǒng)�、CAN-BUS車內(nèi)總線等。由于專職信息安全員和汽車信息安全標(biāo)準(zhǔn)的缺失��,導(dǎo)致很多智能網(wǎng)聯(lián)汽車處于安全裸奔的境地����。當(dāng)更多支付環(huán)境由手機轉(zhuǎn)移至車載終端上以后,必然會帶來攻擊行為的大幅上漲�����,因而有必要未雨綢繆����,提高智能網(wǎng)聯(lián)汽車的信息安全水平。
對于一般用戶而言�,在理解智能網(wǎng)聯(lián)汽車信息安全專業(yè)術(shù)語上存在很大門檻,為了讓大眾更好的認(rèn)識��、理解智能汽車可能存在的安全漏洞���,360智能網(wǎng)聯(lián)汽車安全實驗室主任劉健皓向記者介紹了目前全球范圍內(nèi)已破解的四大經(jīng)典案例。
一�、斯巴魯遙控鑰匙系統(tǒng)存在漏洞
“荷蘭電子工業(yè)設(shè)計師在多款斯巴魯汽車的鑰匙系統(tǒng)中發(fā)現(xiàn)了一個嚴(yán)重的安全設(shè)計缺陷,廠商目前還沒有修復(fù)這個漏洞����,而該漏洞將會導(dǎo)致斯巴魯汽車被劫持�����?��!眲⒔○┱f。據(jù)他介紹���,用戶每用智能鑰匙開啟車門時都會生成一個含有滾動代碼的數(shù)據(jù)包�����,攻擊者在信號范圍內(nèi)通過獲取數(shù)據(jù)包�,推斷出該車輛鑰匙系統(tǒng)下一次生成的滾動代碼��,使用該預(yù)測碼上鎖或解鎖車輛��。
二�����、馬自達車機娛樂系統(tǒng)遭破解
馬自達車機系統(tǒng)漏洞最早是被Mazda 3 Revolution論壇用戶發(fā)現(xiàn)的���,用戶在馬自達車機系統(tǒng)中插入優(yōu)盤����,可復(fù)制系統(tǒng)信息腳本并進行篡改,以此在系統(tǒng)固件之上執(zhí)行惡意代碼�����,造成儀表顯示故障或失靈�。
三、特斯拉汽車車聯(lián)網(wǎng)系統(tǒng)受到攻擊
為了方便用戶聯(lián)網(wǎng)���,特斯拉汽車設(shè)置了一個默認(rèn)功能��,即車輛駛?cè)?S店后會自動接入該4S店的WiFi無線網(wǎng)絡(luò)��,正是這個功能給了黑客攻擊機會�����。黑客通過偽造WiFi入侵車聯(lián)網(wǎng)系統(tǒng),通過遠程方式發(fā)控制指令���,對車輛進行遠程控制���,如控制車輛的剎車��、油門���、天窗、車門等����。
四、海豚音破譯車輛語音控制系統(tǒng)
隨著智能網(wǎng)聯(lián)技術(shù)的發(fā)展����,為了進一步解放駕駛?cè)说碾p手,汽車越來越多的功能開始支持語音控制����,而黑客通過發(fā)出語音信號可實現(xiàn)遠程控制車輛。其攻擊原理是����,黑客通過使用超聲波作為載波信號,將其發(fā)送到語音識別系統(tǒng)的麥克風(fēng)上��,并通過放大器轉(zhuǎn)換為系統(tǒng)可識別的語音信號���。由于超聲波超出人體感知范圍�,因而即便人在車內(nèi),仍無法發(fā)現(xiàn)整個破解過程���。
上述案例僅是智能汽車面臨眾多安全威脅的個案��,在日常生活場景中�����,智能網(wǎng)聯(lián)汽車面臨的威脅將更為多樣化�。
用戶一個不經(jīng)意的聯(lián)網(wǎng)行為很有可能讓車輛陷入安全威脅中�,但值得注意的是,這些漏洞仍可進行修補���,使智能網(wǎng)聯(lián)汽車脫離這些安全威脅����,保證用戶的正常使用��。近年來整車制造企業(yè)���、零部件供應(yīng)商以及國內(nèi)安全科技公司不斷加深合作��,推進智能汽車安全領(lǐng)域相關(guān)研究��,提高智能汽車的“免疫力”���。
和電腦、手機通過不斷升級系統(tǒng)��、軟件來提高防御能力類似���,智能網(wǎng)聯(lián)汽車也可以通過遠程升級來修補系統(tǒng)安全漏洞����,而特斯拉正是通過遠程升級來修復(fù)潛在威脅����。“特斯拉本身帶有遠程升級功能��,通過遠程升級我們可以對瀏覽器漏洞���、系統(tǒng)本身內(nèi)核漏洞進行修補���,內(nèi)置WIFI也可以通過遠程升級方式解決��,因為這是軟接觸方面問題�,只要通過升級系統(tǒng)就可以達到修復(fù)效果����。”360安全實驗室工程師嚴(yán)敏瑞解釋說�����。
當(dāng)然����,遠程升級更多的是出現(xiàn)問題后的解決方式,由于現(xiàn)代車輛由許多互聯(lián)的����、基于軟件的IT部件組成,為了避免出現(xiàn)安全問題���,整車制造商在每一輛車出廠前都會進行嚴(yán)格的安全測試�����,不斷加大汽車網(wǎng)絡(luò)安全的投入�����,與第三方建立了CVND等漏洞平臺�,通過共享漏洞信息��,提高汽車網(wǎng)絡(luò)安全領(lǐng)域的總體安全能力��,為智能汽車建立主動安全屏障����。
上海廣升信息技術(shù)股份有限公司車聯(lián)網(wǎng)事業(yè)部總經(jīng)理芮亞楠接受記者采訪時,強調(diào)了安全性功能應(yīng)在產(chǎn)品設(shè)計階段即納入考慮范圍內(nèi)��,整車廠在開發(fā)智能汽車的過程中����,必須要考慮固件、應(yīng)用和內(nèi)容的管理與升級�,保障智能汽車信息安全,從而促進產(chǎn)業(yè)長足發(fā)展���。
