車聯(lián)網(wǎng)不安全,? 看黑客們?nèi)绾纹平馄?
[汽車之家 安全技術(shù)] 黑客這樣一群活躍在網(wǎng)上的特殊群體,,一直以來給人一種神秘,、高智商以及遙不可及的印象,通常他們會攻擊某個大型企業(yè)或機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng),。而今天任何一輛帶有車聯(lián)網(wǎng)功能或者裝有類似安吉星(OnStar)這種云服務(wù)系統(tǒng)的汽車都可能成為了他們攻擊的對象,。
在近日舉行的SyScan360國際前瞻信息安全會議上,來自美國的黑客和360破解團(tuán)隊分別演示了如何破解Jeep自由光,、特斯拉MODEL S和比亞迪秦等車型,,這一對汽車網(wǎng)絡(luò)安全的挑戰(zhàn),引發(fā)了全球車企重新對車聯(lián)網(wǎng)的認(rèn)知,。那黑客們是怎樣破解汽車的,?到底是汽車的哪些部分容易被入侵?我們接下來揭曉,。
■ 讓Jeep栽進(jìn)溝里,,讓比亞迪緊急剎車
此前有媒體報道稱,來自美國的兩名黑客Charlie Miller和Chris Valasek成功破解了Jeep Cherokee,,即國內(nèi)的自由光,,讓克萊斯勒公司不得不召回140萬輛車。他們能在不接觸汽車的情況下,入侵并控制汽車的多媒體系統(tǒng),、動力系統(tǒng)以及剎車系統(tǒng)等,。例如,他們可以破解汽車的無鑰匙進(jìn)入系統(tǒng),,隨意控制影音播放系統(tǒng)和雨刷器,,讓車輛在行駛過程中油門和剎車失靈等等。下面我們可以通過視頻了解一下,。
這兩位美國黑客沒有以自己的才能危害社會,反而把所發(fā)現(xiàn)的漏洞告知了克萊斯勒公司,,幫助車企維護(hù)了其車聯(lián)網(wǎng)系統(tǒng)的安全性,。在國內(nèi)以網(wǎng)絡(luò)安全自居的奇虎360公司其實也做了同樣的事情,如去年舉辦了現(xiàn)場破解特斯拉的比賽,。近日,,奇虎360在展示了他們破解比亞迪秦的最新視頻。
■ 汽車是如何被破解的,?
□ 物理接觸式攻擊要通過OBD,那OBD又是什么呢,?
OBD是英文On-Board Diagnostic的縮寫,,即車載診斷系統(tǒng)。這個系統(tǒng)在汽車上擔(dān)任了“檢察官”的角色,,它能隨時監(jiān)控發(fā)動機(jī)的運行狀況和尾氣后處理系統(tǒng)的工作狀態(tài),,一旦發(fā)現(xiàn)不正常的狀況,這位“檢察官”就會馬上發(fā)出警示,,儀表盤上的警告燈便會亮起,同時它還會把這次不正常記錄記在自己的“小賬本”上,,即故障碼存儲器,。4S店的維修人員通過專門的故障碼讀取設(shè)備便能查看“小賬本”上的故障信息,從而很快知曉汽車的故障原因,。
□ 如何在不接觸的情況下入侵汽車,?
越來越多的汽車擁有了Wi-Fi和藍(lán)牙功能,大部分廠商設(shè)置這些功能的目的是為了能夠連接移動設(shè)備來控制車內(nèi)的影音娛樂系統(tǒng),,而這同時也成了黑客們攻擊汽車的一條路徑,。
— 通過Wi-Fi系統(tǒng)入侵
然而想要實現(xiàn)啟動汽車,進(jìn)而控制汽車的油門,、剎車等動力系統(tǒng),,就需要更深層次的破解。由于汽車的影音娛樂系統(tǒng)也是能與CANBus總線交換數(shù)據(jù)的,后面我們會細(xì)致地講解CANBus總線,,這里你只需要知道的是,,它能夠連接諸如發(fā)動機(jī)控制器、電子剎車控制器等,。
— 通過藍(lán)牙系統(tǒng)入侵
比亞迪的速銳,、秦以及唐均配備了藍(lán)牙遙控鑰匙,從實用性的角度來說,,這確實是一項非常好的設(shè)計,,方便了我們將車停入狹窄的車位,但比亞迪忽略的是其藍(lán)牙安全性,。為了實現(xiàn)遙控汽車的功能,,比亞迪將藍(lán)牙系統(tǒng)與CANBus總線相連,并且其中包括了連接汽車動力控制部分的CANBus線路,,只是一件非常危險的事情,,因為這意味著破解了藍(lán)牙系統(tǒng)就能啟動并遙控車輛了。
因此,,對于比亞迪秦,,360破解團(tuán)隊采用的對策是通過藍(lán)牙系統(tǒng)破解。首先,,通過Ubertooth軟件破解比亞迪秦的藍(lán)牙PIN碼,。成功之后,用手機(jī)等移動設(shè)備連接藍(lán)牙,,再依靠無鑰匙進(jìn)入系統(tǒng)與手機(jī)App控制程序之間的漏洞,,就可以解鎖車門并進(jìn)行啟動車輛了,。此外,,基于和汽車藍(lán)牙系統(tǒng)能夠保持通訊,360團(tuán)隊通過逆向工程能夠做出與原廠遙控鑰匙一樣功能的藍(lán)牙設(shè)備,。
這種用手機(jī)或其它移動設(shè)備替代汽車鑰匙的做法,,無疑讓黑客們更加容易破解,所以這種為增加實用不惜在安全方面做出妥協(xié)的做法還需要畫上一個問號,。
— 遠(yuǎn)程控制:通過云端和手機(jī)通訊網(wǎng)絡(luò)
此前有報道稱安吉星(OnStar)系統(tǒng)被黑客發(fā)現(xiàn)漏洞,,可被遠(yuǎn)程控制。360破解團(tuán)隊同樣發(fā)現(xiàn)了比亞迪的云端控制系統(tǒng)漏洞,,通過這個漏洞他們能夠獲知車主的信息(如姓名,、車牌號、車架號,、身份證號,、第二聯(lián)系人姓名,、手機(jī)號等),獲知了車主的賬戶名之后,,再進(jìn)一步破解此賬戶的密碼,。一旦密碼再破解之后,就能登錄到比亞迪的車聯(lián)網(wǎng)平臺,。
此外利用近程與遠(yuǎn)程結(jié)合的方式,,360團(tuán)隊曾成功地破解了特斯拉的MODEL S車型,并獲得了特斯拉公司特贈的獎?wù)�,。這次破解是基于他們發(fā)現(xiàn)的特斯拉手機(jī)App的漏洞,,根據(jù)這個漏洞可以遠(yuǎn)程解鎖特斯拉的車門。
當(dāng)然作為特斯拉的車主也不必過于擔(dān)心,,因為這些黑客們的成員隊伍都不是很壯大,,而且破解過程往往需要長達(dá)幾周甚至幾個月的時間,只要特斯拉廠商不斷更新自己的安全防護(hù)系統(tǒng),,及時彌補(bǔ)漏洞,,黑客們就很難攻破。
■ 破解汽車的關(guān)鍵是什么,?
通過上面可能您也有所認(rèn)知,,作為汽車最后一道防線的CANBus總線成了攻破汽車網(wǎng)絡(luò)的關(guān)鍵。那CANBus總線到底是什么呢,?
CANBus全稱為控制器局域網(wǎng)總線技術(shù)(Controller Area Network-BUS),。CANBus總線技術(shù)最早被用于飛機(jī)、坦克等武器電子系統(tǒng)的通訊聯(lián)絡(luò)上,。將這種技術(shù)用于民用汽車最早起源于歐洲,,在汽車上這種總線網(wǎng)絡(luò)用于車上各傳感器、控制模塊以及執(zhí)行單元之間的數(shù)據(jù)傳遞,。
CANBus有高速和低速之分,,高速CANBus總線主要連接發(fā)動機(jī)控制單元、ABS控制單元,、安全氣囊控制單元,、組合儀表等這些與汽車行駛直接相關(guān)的系統(tǒng)。而低速CANBus則主要連接像中控鎖,、電動門窗、后視鏡,、車內(nèi)照明燈等對數(shù)據(jù)傳輸速率要求不高的車身舒適系統(tǒng)上,。
CANBus總線技術(shù)在如今網(wǎng)絡(luò)安全十分敏感的今天就暴露出了它的缺陷,由于它設(shè)計之初沒有考慮到通訊安全的因素,,甚至連關(guān)鍵的高速CANBus部分也能隨意訪問,,這是因為我們訪問CANBus總線上的信息是不需要身份驗證過程的,,所以這就給了黑客們攻擊汽車的可乘之機(jī)。
■ 如何預(yù)防,?
首先強(qiáng)調(diào)的是,,目前廠商已經(jīng)彌補(bǔ)了上述漏洞,所以作為Jeep,、特斯拉或者比亞迪的車主暫時可以安心了,。可以說,這些黑客著實給廠商們上了一課,,在提高車聯(lián)網(wǎng)系統(tǒng)給用戶更好的體驗的同時,,一定不要忘記車聯(lián)網(wǎng)安全性的提升。加強(qiáng)云端服務(wù)的防火墻系統(tǒng),,提高更新車聯(lián)網(wǎng)系統(tǒng)漏洞的頻率是解決目前安全性的主要方式,。另外,轉(zhuǎn)用安全性更高且傳輸速度更快的汽車以太網(wǎng)總線技術(shù)也不失為一種更長遠(yuǎn)的選擇,。而未來對于擁有車聯(lián)網(wǎng)汽車的用戶而言,,盡量維護(hù)好自己的手機(jī)安全性,不讓黑客們通過手機(jī)盜取自己的車聯(lián)網(wǎng)信息就可以了,。
■ 總結(jié)
不敢想象在高速路上開車時,,汽車的轉(zhuǎn)向系統(tǒng)或者剎車系統(tǒng)突然被黑客攻擊是怎樣的后果。當(dāng)Charlie Miller和Chris Valasek首次公布破解了Jeep汽車的時候,,便引起了全球?qū)嚶?lián)網(wǎng)安全性的關(guān)注,,我們必須重新審視車聯(lián)網(wǎng),它在給我們帶來便利的同時也悄悄地埋下了安全隱患,。另外,,作為汽車安全的最后一道關(guān)卡,CANBus總線技術(shù)面臨著嚴(yán)重考驗,,是不是會被最新的以太網(wǎng)總線技術(shù)會取代呢,?如今,奇虎360正籌備與國內(nèi)多家車企和機(jī)構(gòu)成立中國車聯(lián)網(wǎng)安全聯(lián)盟,,那是不是360也想要借此“東風(fēng)”切入汽車領(lǐng)域呢,?請各位看官持續(xù)關(guān)注。(文/圖 汽車之家 夏志猛)
文章標(biāo)簽:
新鮮技術(shù)解讀
安全技術(shù)
收藏
+1
贊
+1
踩
推薦閱讀
最新文章
加載中
好評理由:
差評理由: