您的位置: 聊城信息港 > 育儿

奔驰刹车疑云引发担忧联网后汽车会有后门吗

发布时间:2019-05-14 19:42:23

近一周来,一辆奔驰中的奔驰车成了大众焦点,这辆设定为定速巡航的汽车,突然刹车失灵,以120千米的时速奔跑了一百多千米。在此前的报道中,这场生死时速的终结者是奔驰后台通过远程操控达到降速的目的。然而一个疑问却引起了广泛的讨论,车是我自己的,厂商却留有后门可以获取更高的远程操控权限,操控我的油门,合理吗?

我一开始就认为是假的。宋宇昊是极棒实验室研究员,对尔后剧情反转奔驰和车主都否定远程刹车的说法,他并不意外。 我接触过的车企没有哪一家将行车控制的功能直接开放给远程络,奔驰作为一家传统老牌车企,我认为不会比他们更加激进。

然而,无论此事真伪如何,一个必须要考虑的问题是,随着汽车逐渐电子化、联化,当它变成一台可移动的电脑时,通过互联远程攻击和控制,并不是不可行。宋宇昊告诉《IT时报》,被极客破解汽车系统的案例是存在的,其中不乏特斯拉、克莱斯勒等知名大车企。

现实是,不管汽车厂商留不留后门,联后的汽车都有可能成为新型攻击的对象,面对来势汹汹的互联,不少厂商选择顺势而为,白帽子公司的生意也水涨船高。

一条短信操控一辆车

想不想体验一把远程杀人的快乐? 2017年10月,极棒嘉年华(黑客大赛)上,一场比赛开始之前,一位评委语重心长地说道。

在接下来的20分钟里,1支参赛团队在1辆汽车上粘了一件东西,随后主持人向车辆发送了一条急停指令短信,正常行驶的车突然刹车停下了。

这次比赛中显现的远程杀人技术,并不是直接黑进汽车的系统,而是通过OBD(On-Board Diagnostic,车载诊断系统)接口接入一个OBD盒子。OBD能够随时监控发动机的运行状况和尾气后处理系统的工作状态并保存起来,所以车主安装OBD盒子后,不仅通过能了解车辆的位置、电瓶、油量、电量等信息,还能为老车提供新车才有的行车智能电脑、钥匙一键升窗、HUD抬头显示等功能。正是因为功能强大,业界逐渐流行起了OBD盒子,并将其插入到原本仅限4S店故障检查和维修使用的OBD接口中。

参赛团队是安恒海特实验室,一名实验室研究员告诉,他们前期花了一周的时间破解OBD盒子。我们展现的主要是智能OBD盒子的安全问题,所以随便挑选了一个品牌汽车,其实测试过很多品牌汽车,都可以攻击成功。

破解汽车,海特安全实验室并不是个吃螃蟹的人。2014年开始就有团队利用安全缺点远程控制了特斯拉。由于UConnect信息娱乐系统中存在着漏洞,攻击者可以远程获得汽车的控制权,菲亚特克莱斯勒公司(FCA)曾在2015年召回了美国140万辆汽车。去年7月,美国工业控制系统络应急小组ICS-CERT发布一项警告,指出控制器局域(简称CAN)总线标准当中存在安全漏洞,黑客可以利用该漏洞完全操控汽车。

随着汽车互联化程度逐渐提高,被黑客攻击后丧失汽车操控权的担心愈来愈深。

车企与黑客不停斗法

世界上厉害的黑客,无法黑进一辆自行车。传统汽车的电子系统是封闭的,黑客很难从车辆外部找到攻击入口,但一旦攻入CAN总线,基本就能完全控制汽车。现在汽车更是已全部电子化、互联化,大量汽车内部络和互联联通,成为黑客的攻击入口。目前来看,黑客的攻击入口主要集中在车载文娱系统、数据传输通道和T-Box(车载终端系统)三个层面,其中容易被攻击的是T-Box。

1辆小型汽车的CPU有100~200个电子控制单元,分别负责不同的功能,比如车身控制、引擎控制等等,各电子控制单元通过汽车总线通讯。常见的是CAN总线,有些模块相互之间要通讯,所以没有做隔离,也有一些厂商完全没有斟酌隔离。所以一些汽车的对外功能遭受到攻击后,通过这个功能的电子控制单元可以跨到其他单元执行功能操作。那位海特安全实验室研究员说道。

固然,由于事关人命,车企对安全的措施非常谨慎。一位从事车联研发人员告诉,T-Box秘钥是企业机密,OBD检测口虽然变成了全球统一标准口,但不同车型都有不同的系统算法和加密。

这意味着对黑客来说,攻击的成本与门槛相对较高。攻击具体的车型需要取得这辆车进行研究,其次像T-Box类的攻击,要想控制更多的模块,就需要组合更多的攻击方式。宋宇昊还表示,上文提及的OBD攻击,虽然攻破了大部分品牌汽车,但有个前提是,必须接近车辆放进提前制作好的遥控器,这类攻击无法大规模操作,只能单点攻击。

白帽子积极捉虫

特斯拉的首席执行官埃隆马斯克曾表示,避免汽车被破解是公司的首要安全任务之一。汽车互联化,如何才能保证汽车的信息安全?各方给出不同的建议,独立汽车咨询顾问张翔表示,5万元以下车型尽量减少互联化,10万元左右车型,安全方面预算可以提升至5%,而100万车型可以再提升2%5%。

一名运营商人士则表示,可以考虑量子加密传输数据,那位海特安全实验室研究员则认为,联汽车的发展不能忽略信息安全,但也不能被信息安全牵制,所以必须在设计之初便有信息安全的考虑,很多车企此前没有信息安全的基因,因此可以和信息安全公司一同建立联汽车的安全。

已达成共鸣的是,白帽子发现漏洞行为有利于车企提高车辆的行车安全。2014年特斯拉被破解后,推出了有奖捉虫计划(bug bounty program)鼓励黑客发掘漏洞,任何发现或提示特斯拉软件安全漏洞的黑客100到10,000美元不等的奖励。2015年,FCA因安全漏洞召回140万辆汽车事件以后,FCA也加入了有奖捉虫计划的行列,成为招抚黑客的大批量汽车厂商。

同时,由于该召回事件给传统汽车行业带来极大的震动,上游产业链也受到影响。一名从事汽车核心配件生产的人士透露,大概在两三年前开始,他把信息安全纳入项目本钱考量范围之内,我们项目合作在千万元级别,本钱增加10%都是低估的。作为配件设计公司,因为客户水平参差不齐,现在他们一手全做了。

传导到互联安全技术企业的影响是,与车企的合作越来越顺畅了。一名从事过车企漏洞发掘项目的技术人员告知,FCA事件之前,他们与车企一直有交集但没有合作,FCA召回的消息刚传出,几个项目便迅速落地了。初他们从事与汽车相关的漏洞挖掘团队只有三四个人,现在不仅成立了独立的团队,相关业务也风生水起。

月经量多喝什么好
月经量多能吃什么调理
月经量多吃点什么补
猜你会喜欢的
猜你会喜欢的