黑掉App就能偷汽车吗?
作者: 日期:2018年11月29日 阅:3,402

用计算机病毒搞崩溃你家里电脑的黑客,如今还能在你熟睡时黑进你家新车发动引擎。你家安装的一氧化碳检测器大半夜把你全家吵醒,因为你车库里停着的车在喷出滚滚尾气……这些场景想想就觉得很恐怖。

现在已经不仅仅是化油器、燃点或Powerglide变速箱的问题了。燃油喷射和超速自动变速箱极大推动了燃油经济、碳排放,并将引擎和传统系统预期寿命从16万公里推升到了48万公里。但真正改变汽车与人的互动形式的,是计算机的引入。

今天的汽车更像是强大的电脑,反而不太像其纯机械产品的前辈们了。而随着越来越多的汽车连接上互联网,网络安全也成为了汽车行业的紧迫问题。

汽车行业大部分的安全工作都放在保护车辆的各个部件上。但随着智能手机融入我们的生活,一类全新的漏洞随之而来,让汽车制造商们措手不及。能让驾驶员通过手机控制自己爱车的App,就是攻击者们黑进车载计算机系统的全新入口点。

这些App让驾驶员能够执行各种功能,比如启动/停止引擎、锁上/解锁车门、解除安全系统等等。利用GPS跟踪车辆的地理位置也是这些App能够做到的事。而且,大多数此类App不需要直接连接汽车。

通常,有云服务接收App的请求,然后通过蜂窝连接转发给汽车。汽车信任所有接收自其云服务的请求,所以必须确保请求来自正确的人。

但是智能手机和各种各样的App都会有漏洞和未修复的安全缺陷。如果攻击者入侵了汽车的智能手机App,就可以向云服务发送指令,弄得好像指令来自合法用户一样,而汽车会忠实地执行这些指令。黑客可以解锁车辆,启动引擎,然后开跑联网车辆,甚至连撬车门这步都省了。某些车型还可以预设好空调温度和旅途音乐。

对汽车行业来说,这一变化非常重大,因为这样一来汽车安全就取决于与汽车本身完全隔离的部件的安全了。智能手机的安全状况决定汽车的安全。

比如说,你智能手机没打上最新的补丁,或者你已经不小心安装了恶意应用或在欺骗网站上输入了你的登录信息,那就不仅仅是你的个人信息面临风险,而是连你的车都有被盗风险了。而且,这还不是最坏的情况。

如果黑客成功破解了汽车App的安全防护,同样的攻击可以复制到使用该App的所有用户身上,攻击者可以通过云服务控制成千上万辆汽车。

网上黑市已经有售电子邮件欺骗工具和虚假网站构建工具包了,将来出现某黑客运营按需解锁App用户特定汽车的服务也不足为奇。或者,情况再坏一点,黑客远程启动数千辆汽车的引擎,而其中很多正停在不通风的车库里,造成严重的人员伤亡。

这些问题不仅仅是猜测,我们已经开始看到这样的攻击案例了。一名入侵者胡乱耍弄了基于Web的某汽车制动系统后,得克萨斯州奥斯丁的一百位车主就发现自己的爱车要么无法启动,要么喇叭声失去控制。最近,英国一名车主也曝出,自己的车被两名黑客用一部iPad,连他的遥控钥匙都没碰就解锁偷走了。两起现实攻击所利用的漏洞各不相同,随着越来越多的功能添加到智能手机上,此类风险也越来越大。

保护汽车免遭网络攻击的责任落在汽车制造商身上,但我们应知晓,车辆盗窃与攻击可能很快就不再需要物理接触你的爱车或其部件了。

制造商应重视此类风险,防止自身App被逆向工程和篡改。应采用强用户身份验证和保护好应用密钥。毕竟,保护用户凭证安全不仅对用户来说很重要,对汽车制造商来说也是应密切关注的问题。

相关阅读

车载网络安全分析

GPS欺骗小工具可致车载导航迷失方向

汽车联网已是大势所趋 网络安全能力成发展先决条件

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章