汽车资源新闻频道,二十一日元就能够入侵车载

来源:http://www.shyzzl.com 作者:www.35222.com 人气:153 发布时间:2019-10-10
摘要:即将在新加坡举行的黑帽亚洲(Black HatAsia)安全大会上,西班牙安全研究人员贾维尔·瓦兹奎兹-维达尔(JavierVazquez-Vidal)和阿尔伯托·加西亚·易乐拉(Alberto GarciaIllera)计划展示他们

图片 1

即将在新加坡举行的黑帽亚洲(Black Hat Asia)安全大会上,西班牙安全研究人员贾维尔·瓦兹奎兹-维达尔(Javier Vazquez-Vidal)和阿尔伯托·加西亚·易乐拉(Alberto Garcia Illera)计划展示他们打造的一种小型装置,成本不到20美元。他们计划展示如何利用这种微小的廉价设备入侵车载系统,在几分钟内获取他们需要的所有无线控制权。

导语:近日,三位国外“黑客”再次利用汽车的第三方软件0day漏洞,成功攻击奥迪TT汽车的安全气囊,使其关闭。要知道,2015年2月美国通用汽车公司OnStar系统安全漏洞刚刚被曝存在安全隐患。2015年7月,两名“黑客”就在美国入侵切诺基车联网系统,通过蜂窝数据获得切诺基的IP地址后,让汽车与假移动基站通信,“这样在800公里之外也能攻击汽车,距离不是问题。”破解切诺基“黑客”之一的米勒表示。

长期以来,黑客攻击似乎只是IT行业的专属麻烦,汽车制造商对此总是轻描淡写,它们的理由是汽车不断增长的网络系统可以免受攻击。然而,两位研究人员展示出的一个巴掌大的廉价设备只需在短短几分钟内便可以获取汽车的所有无线控制权。

图片 2控域网入侵工具,简称CHT

中国汽车咨询中心网在11月26-27日上海举办的“第五届中国车身电子与网络技术论坛”上,就以“应对功能、成本与安全的新挑战”为主题,对汽车安全问题进行了重新定义。

据福布斯的报道,西班牙安全研究员 Javier Vazquez-Vidal 和 Alberto Garcia Illera 计划在下月举办的 Black Hat 亚洲安全大会上展出这样一款不足 20 美元的设备——CAN Hacking Tool。

这种装置能与汽车的内部网络进行物理连接并输入恶意指令,影响从车窗、前灯、方向盘到刹车的所有部件。该装置的大小相当于iPhone的四分之三,通过四根天线与汽车的控域网(Controller Area Network,简称CAN)连接,从车内电力系统获取能源,随时可以接收远程攻击者通过电脑发出的无线指令并将之输入车载系统。他们把该装置命名为控域网入侵工具,简称CHT。

被破解的后果是,切诺基被远程操控翻入路旁的沟渠里。随后,克莱斯勒公司宣布在全美召回约140万辆存在软件漏洞的汽车,这也是首例汽车制造商因为黑客风险而召回汽车的事件。

CHT 大小仅为 iPhone 的四分之三,它可以通过四根电线与汽车 Controller AreaNetwork连接,利用车载电源系统维持电力,然后发布恶意指令影响汽车的正常运行,包括车窗控制、转向和刹车。

“连接只需要花5分钟或更少的时间,然后就可以离开了。”德国汽车IT安全顾问维达尔说,“我们可以等待一分钟或者一年,然后启动该装置,指使它为我们做任何事情。”

本次破解奥迪TT安全气囊的“黑客”,是来自CrySyS实验室的András Szijj和Levente Buttyán,以及布达佩斯技术和经济学院的Zsolt Szalay。

Javier Vazquez-Vidal 是德国一家汽车公司的 IT 安全顾问,据他透露,CAN 可以在不到五分钟的时间内安装关闭,然后便可以通过远程发出指令劫持汽车。只需如何控制汽车取决于汽车的具体型号。他们已经测试了四款不同的汽车,可劫持的内容包括关闭车灯、引发防抱死制动或者紧急制动系统。

维达尔说,研究人员能够通过CHT远程输入的指令类型取决于车型。他们测试了四种不同的车型(他们不愿透露具体的生产商和型号),输入的指令有关闭前灯、启动警报、打开和关闭车窗这样的恶作剧,也有访问防抱死制动系统或者紧急刹车系统等可能导致行进中的车辆突然停止的危险动作。在某些情况下,安装该装置需要打开引擎盖或者后备箱,而在其他情况下,他们说只需要爬到车下安装即可。

他们利用的车联网漏洞来自第三方安全软件,该软件目前被众多汽车品牌使用。与米勒远程劫持切诺基不同的是,此次三位“黑客”需要利用一台PC通过USB口接入奥迪TT,才能劫持汽车,实现关闭汽车安全气囊等动作。

在一般的情况下,安装这款设备只需爬到车下,有些车型则需要打开车的引擎盖。

目前,这种装置只能通过蓝牙进行连接,这将无线攻击的距离限制在几英尺的范围内。但这两位研究人员说,当他们在新加坡展示他们的研究成果时,将会升级到GSM蜂窝式无线电,使得在几英里外控制该装置成为可能。

事实上,众多微型计算机被安装在汽车内,遍布发动机以及各个部件。这就给了“黑客”找到各部分信息,阻断这些信息,继而控制汽车的可能。从去年破解特斯拉开始,到今年破解比亚迪秦的自动移车系统,再到破解切诺基和奥迪安全气囊都是如此。

图片 3

维达尔说,这种装置的所有零部件都可以从商店买到,因此即使该装置被发现,也不会留下安装者的线索。“完全是无迹可寻。”他说。

破解切诺基的车联网系统时,“黑客”是通过发现汽车固件V850没有任何授权设置,这使他们利用汽车不同硬件将CAN总线的信息发送至关键电子控制单元变得容易。

目前,这款设备仅能通过蓝牙进行通讯,因此它限制了攻击范围,但两位研究员表示,他们可以将通讯装置升级为 GSM 网络,从而让劫持发生在千里之外。

联网汽车面对黑客攻击的脆弱性越来越引起安全行业的关注,而这两位西班牙研究人员的成果为这种关注又添了一把火。去年7月,在Defcon黑客大会举行之前,研究人员查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)让我坐在一辆福特Explorer和一辆丰田普锐斯的后座,向我演示了他们如何通过将笔记本电脑插入仪表板接口来实施诡计,例如猛踩普锐斯的刹车,拉拽方向盘,甚至在低速行驶下使Explorer的刹车失灵。

在汽车连接WIFI时,破解切诺基的黑客也发现了WPA2的密码漏洞。虽然每天只有几秒能找到密码,但是仍然给了他们可趁之机。在切诺基某个部件第一次设置密码时,通过GPS设置,会有一个默认的时间密码,黑客则根据这个密码测算出相应数据。

CHT 的出现,无疑增加了汽车行业对于汽车安全性的紧迫。此前,正如丰田公司所说,整个汽车行业的聚焦点在于无线远程劫持,而非类似 CHT 这种接触到汽车的攻击。

这项研究促使参议员爱德华德·马基(Edward Markey)向20家汽车厂商发送了7页的信件,要求详细说明他们的安全措施。虽然汽车厂商们应该在1月3日作出答复,但马基的办公室还没有公布他们的回复结果。

目前,车联网安全漏洞频发,与智能汽车和新能源技术升级不无关系。在这样的背景之下,中国汽车咨询中心网所主办的“第五届中国车身电子与网络技术论坛”聚焦车辆网络的平台化与架构设计,以及在测试技术与网络安全方面的经验,尤其需要关注传统的IT行业对于汽车电子方面有哪些可借鉴的能力很有必要。

“发布我们黑客工具的目的不在于告诉公众‘瞧,用这个可以劫持汽车’,而在于告诉汽车厂商,黑客能做到什么。”Vazquez Vidal 说道。

丰田对米勒和瓦拉塞克的研究不予理睬,理由是他们的黑客攻击需要与汽车进行物理连接。“我们和整个汽车业的关注点是防止来自汽车外部的远程无线设备发动的黑客攻击。”丰田安全主管约翰·汉森(John Hanson)当时对我说。

因为黑客在升级破解手段后,往往是通过插入车辆诊断端口与智能手机连接为切入点。一旦智能手机被连接到车载网络后,汽车的基本安全和司机的个人信息就存在安全风险。

在汽车智能化的发展趋势下,已经有不少汽车厂商着手将信息技术整合入汽车的驾驶系统中,当以获取利益作为支撑点,入侵智能汽车系统可能成为黑客的下一个目标。与智能手机泄漏隐私不同,汽车安全的代价是生命。

但米勒和瓦拉塞克反驳说,其他人已经证明了对车载系统的初始无线渗透确实是可能的。2011年,华盛顿大学和加州大学圣迭戈分校的一群研究人员通过蜂窝网络、蓝牙连接甚至车载音响系统里CD上的一个恶意音频文件,以无线方式入侵了车内系统。

因此,汽车行业的高智能化也逐渐面临与互联网领域一样的安全危机。从特斯拉到国产新能源车比亚迪秦,再到传统车切诺基和奥迪TT等系统漏洞的破解,黑客攻击开始频繁跟汽车行业产生关联。

Miller 和 Valasek 认为,汽车制造商需要着眼于汽车网络普及之外的更多方面,考虑为汽车系统增加安全装置。

维达尔和易乐拉的CHT装置为无线入侵提供了另一种方法,而且可能是成本低得多的方法。但与先前的研究人员不同,他们说他们的意图是证明以数字方式攻击汽车是可能的,而不是提供攻击的方法。虽然他们将详细说明该装置的物理构造,但他们说他们不打算公布用来向测试车辆输入指令的代码。“目的不是向公众发布我们的黑客工具,并说‘拿去入侵汽车吧,’”维达尔说,“我们希望向汽车厂商们说明该装置能做些什么。”

这就需要汽车厂商及相关产业链在设计、开发和测试中充分考虑信息系统安全,政府加以推动建立相应规范、标准和体系。汽车与网络安全行业的合作也应该趋于常态化,共同应对和解决不断变化的车联网安全问题。

“一辆汽车就是一个小型网络,可目前没有任何安全措施。”Garicia Illera 说道。

与米勒和瓦拉塞克一样,他们也表示,汽车厂商不能将目光局限于对车载系统的初始无线渗透,而应致力于增加车载系统的安全性,限制流氓设备造成混乱的能力。

本届论坛重点关注

“汽车是个迷你网络。”易乐拉说,“目前人们并没有在这个网络上落实安全措施。”

  1. 面对复杂应用的架构设计

  2. 硬件测试与联网汽车数据安全

  3. 模块化汽车电子开发流程

  4. CANFD、LAN的设计与集成技术

  5. 汽车电子成本与能耗控制

图片 4

本届论坛关于“安全”的聚焦

  1. 如何建立联网汽车网络安全的开发模式与体系

  2. 新一代MCU技术如何提升联网汽车的安全性能

  3. 基于真实攻防测试的安全威胁分析

  4. 更缜密的用户访问控制:如何实现网络公钥验证与加密算法

  5. 威胁建模与防御性编程:应对数据安全领域的新挑战

  6. 如何评估实现网络数据安全的资源及代价?

论坛官方网站:

参会联系人:陈小姐电话:021-31317590

手机:15921591853电子邮件:eva.chen@timerchina.com

本文由新葡萄京官网发布于www.35222.com,转载请注明出处:汽车资源新闻频道,二十一日元就能够入侵车载

关键词: 新葡萄京官网 www.35222.co

最火资讯