著各種智能技術和互聯網技術的應用,汽車上的各種車載系統變得越來越復雜,越來越智能,同時也存在諸多漏洞。這些漏洞給汽車駕駛帶來了新的潛在安全風險,甚至是致命威脅。
近日,2名美國黑客導演了一場汽車遠程入侵大戲,用一臺筆記本電腦遠程控制了行駛中的一輛切諾基汽車,從音響、空調、雨刷到發動機和剎車系統全都實現了控制,可憐的司機失去了以70碼高速行駛的汽車的控制權,那種驚恐可想而知。
查理·米勒(Charlie Miller)以及克里斯·瓦拉塞克(Chris Valasek)這兩名黑客一手“導演”了整個過程。兩人進行了長時間的汽車入侵方面的研究,利用汽車系統存在的“0day漏洞”,通過無線連接入侵了切諾基汽車。
這是汽車生產商和駕駛者的噩夢:通過軟件,黑客通過切諾基的車載娛樂系統發送指令,啟動儀表盤上的各種功能,包括轉向、剎車以及換擋,所有這些都可以通過一臺筆記本輕松實施,而發起襲擊的人可以身處任何地點,只需連接至網絡即可。
在演示中,兩名黑客在駕駛的車輛以西10英里的家中,通過米勒的筆記本發起入侵。遠程控制了切諾基的空調系統、收音機以及擋風玻璃雨刮,然后切斷了車輛的變速器。
而駕駛員一腳將油門轟到底,發動機轉速持續攀升,但切諾基仍然持續減速,最后幾乎接近怠速狀態。最終汽車發動機被關閉了,制動失靈也失靈了,這一切對于一輛行駛中的汽車無疑是致命的。
成千上萬由克萊斯勒出產的轎車、SUV以及卡車都配備了一種稱之為“Uconnect”的可聯網計算機功能,負責控制車輛的娛樂以及導航系統,同時可以撥打電話甚至設立Wi-Fi熱點。由于該系統存在的漏洞,任何知道車輛確切IP地址的人都可以通過Uconnect的蜂窩網絡連接在任何地點對車輛進行控制。而兩位黑客前面演示的控制汽車的過程就是利用了這個漏洞。
隨著越來越多的汽車具備可聯網能力,現實世界中此類事件的發生數量將呈上升趨勢。Uconnect只是眾多車載信息系統中的一個,通用汽車的Onstar、雷克薩斯的Enform、豐田的Safety Connect、現代的Bluelink、英菲尼迪的Connection,隨便都可以列舉出一大堆類似系統。
而前不久的HackPWN安全極客狂歡節啟動儀式上,安全專家利用發現的比亞迪汽車云服務平臺漏洞,在沒有鑰匙的情況下,成功利用電腦先后實現了遠程開鎖、鳴笛、閃燈、開啟天窗等操縱,從開始操作到成功破解,只花了不到2分鐘的時間。此次利用的這個比亞迪安全漏洞,存在于比亞迪云服務系統中,會影響到比亞迪混合動力汽車秦、思銳、S7和最新的唐等多款搭載比亞迪云服務的汽車。
“雖然演示的過程只有短短幾分鐘甚至幾秒鐘,但背后是數周甚至數月的發現和研究過程。”安全專家劉健皓表示:“汽車安全和生命息息相關,因而汽車安全相比其他網絡安全問題更加嚴峻,更應重視和關注。”
據悉,HackPwn2015安全極客狂歡節是全球關注智能生活安全的黑客嘉年華,由國際頂尖的黑客團隊360Vulcan Team、360Unicorn Team共同發起,在吸收國內外各安全賽事優點的基礎上,重金打造的基于智能硬件設備安全的賽事平臺,面向所有白帽黑客開放,邀請有志于“破解”的白帽黑客共同挖掘市場上流行的智能設備和智能系統的安全漏洞,以此推動業界共同關注并參與萬物互聯時代安全防護。
組委會相關負責人表示:“目前智能汽車安全問題日益嚴重,我們鼓勵廣大白帽子加強對智能汽車的漏洞的挖掘和研究,所有收集到的所有漏洞都將嚴格保密,并提交給相關廠商。如果需要,我們還將幫助廠商共同解決。”
天都市報11月19日訊(記者胡長幸 通訊員馬想斌)“門開了,用了58秒!”現場工作人員,僅僅通過幾個命令,將不遠處一輛原本被鎖好的智能網聯汽車的門輕松打開,并隨后啟動了引擎。這一幕發生在光谷科技會展中心舉行的“2020中國5G+工業互聯網大會”展會上。
在這家名為奇安信的公司展臺上,技術專家向記者演示了黑客是如何通過利用智能網聯汽車系統的漏洞進行遠程操控的。只見在借助5G無線技術連接上汽車的電腦上,人工敲入幾行代碼,不到1分鐘,就“隔空”實現對智能網聯汽車的操控,包括開車門、車窗等。
“如果不能解決網絡信息安全問題,智能網聯汽車就無法得到大規模的應用。”奇安信助理總裁、湖北分公司總經理魏雨露介紹,智能網聯汽車已經成為未來汽車發展新方向,信息技術在這類汽車的控制設備中應用越來越廣泛。去年我國這個市場的規模約為1033萬輛,一旦遭遇黑客入侵,汽車的網絡信息安全問題可能導致汽車出現功能故障,甚至危及人身安全。我們希望通過現場互動演示,能夠引起廠商對于智能網聯汽車安全性的重視。
據了解,奇安信公司目前在武漢設立了第二總部,已經與北汽藍谷信息技術、中電工業互聯網、湘江智能和中汽數據等機構平臺達成協議,在智能網聯汽車信息安全領域進行全方位合作。
展會現場,該公司還展示了一次工業互聯網攻防過程:一套生產有機農藥的化工裝置,指標一切正常。隨著一條條攻擊指令傳輸到工業自動化系統中,控制器邏輯和參數被篡改,改變了原料配比,產生廢品,且使得有毒原料罐液位不斷上升,超出閥值大量溢出……當工作人員開啟了相應的防護策略后,所有攻擊指令隨即被攔截下來,工業自動化系統也恢復正常運行。
“在真實的攻防過程中,很有可能造成更加嚴重的后果,比如環境污染、設備爆炸甚至人身傷害等事故。”魏雨露說,為此他們已與比亞迪、航天云網等多家工業企業合作,進行工業主機安全防護、工業互聯網平臺安全防護體系建設等,取得成功實踐。
有業內專家表示,隨著工業互聯網時代的到來,網絡安全成為越來越重要的話題,需要建設全新的工業互聯網安全保障體系,已經有不少國內網安企業嗅到市場機遇,紛紛進軍這一“藍海”。
著汽車工業的不斷進步和發展,現代汽車已經越來越智能化。好比車上的車聯網功能和自動駕駛系統,讓人們享受著科技帶來的便捷和樂趣。不過在電影《速度與激情8》中有一個橋段,黑客入侵并控制了1000輛車,組成“僵尸車隊”去攔截目標人物。雖然這只是電影夸張的表現手法,但其實現實中“遠程控制”汽車同樣也是能實現的,曾今就有人嘗試過并成功控制了車輛。
2015年,一組IOActive研究人員展示了他們如何破壞聯網汽車系統,并且掌控這輛汽車。當Wired記者搭乘IOActive研究員Charlie Miller 和Chris Valasek的車后,在以70英里/小時的速度行駛中,這輛車的空調系統突然被打開并開始吹冷風,隨后車內無線電開關自動開啟,雨刮器也啟動了,雨刮液噴射到擋風玻璃上,最后這輛車自動偏離設定好的路線。正是這次演示,讓汽車黑客的能力成為公眾關注的焦點。緊接著2016年,Charlie Miller和Chris Valasek再次在同一輛車上進行攻擊,通過對車輛的CAN總線進行物理攻擊,將筆記本電腦連接到系統之后,他們就能控制這輛車的制動系統,并且時速在25英里/小時的速度下也能讓它翻車。
看到這里,身為車主是否感到有一絲悚然?如果有一天有不懷好意的黑客黑入車輛系統并讓車輛失控該怎么辦?另外一些車輛網功能還綁定有車主的個人信息,那么個人信息足夠安全嗎?
黑客入侵車輛主要通過三個途徑:一是通過WI-FI系統入侵,如今很多汽車都搭載車載WI-FI,由于汽車的影音娛樂系統也是能與CANBus總線交換數據,而且這些數據都可以經過聯網控制,所以黑客可以從這里控制;二是通過藍牙系統入侵,藍牙車鑰匙的確方便了車主,實用性很高,但大部分汽車廠商將藍牙系統與CANBus總線相連,其中還包括了連接汽車動力控制部分的CANBus線路,那么黑客就可以通過逆向工程做出與原廠遙控一樣的藍牙設備;三是通過云端數據,黑客通過云端數據可以知道車主的個人信息以及車架號、車牌號等,然后破解賬戶的密碼登陸該輛汽車的車聯網平臺,然后根據這個漏洞用手機APP解鎖并啟動車輛。
當然,我們也不必太過擔心,因為這些情況汽車廠商在車輛出廠前已經提前應對,主要用車載控制器端硬件及數據安全加密、用戶身份證機制以及通訊信道加密三種措施。此外,除了提前做好安全系統外,車廠還會運用國際上主流的智能汽車安全監測防范體系——PDRR體系,對車輛安全進行入侵預測、防護、響應、檢測。不過即使這樣依舊也不能100%做到無懈可擊,但黑客想要入侵也并非易事,費時費錢。而且有些車廠還和白帽黑客(友好黑客)合作,白帽黑客專找系統漏洞領取官方獎金,而車廠基于漏洞不斷升級完善安全系統。
當智能汽車的普及和機動車保有量的逐漸增大,智能汽車安全問題非常重要。即便像電影中那種夸張的場面,在現實中幾乎不可能發生。但是如果出現小范圍的惡意攻擊,也足以出現威脅車主及行人安全的隱患,另外就是個人信息安全問題,所以國家級別的智能汽車防范機制便出現了。英國曾在2017年發布了《聯網和自動駕駛車輛網絡安全重要原則》,而國內則有《智能網聯汽車車載端信息安全技術要求》。
這兩者大同小異,都是提出要從供應商到車企、服務商全鏈條安全防范,讓智能汽車安全固若金湯。此外,《智能網聯汽車車載端信息安全技術要求》還透露,國家信息安全漏洞共享平臺中已經建立了針對汽車行業漏洞的應急響應子平臺,足以可見國家對智能汽車安全問題的重視。
總而言之,有這種擔心是很正常的;智能汽車雖說有被黑客攻擊的風險可能性,但在背后是有一系列的安全防范體系在守護智能汽車、守護著我們的信息安全,所以不用太擔心。
(文章配圖來源網絡,侵刪)