黑客破解6位密碼即可操控S型車 20美元5分鐘“攻陷”汽車
責(zé)編:admin |2014-04-21 13:42:25 電動(dòng)汽車制造商特斯拉常在有意無(wú)意間成為輿論焦點(diǎn)。這一次,“躺槍”的要害在于S型車存在網(wǎng)絡(luò)安全隱患,輕易即可被黑客攻破。這個(gè)結(jié)論也讓互聯(lián)汽車的安全問(wèn)題再次進(jìn)入人們視野。在與網(wǎng)絡(luò)實(shí)現(xiàn)連接后,汽車變得有多脆弱?黑客攻擊到底給互聯(lián)汽車造成哪些危害?面對(duì)“脆弱”防線,我們又能做些什么?
破解6位密碼即可操控S型車
在不久前落下帷幕的2014亞洲黑帽大會(huì)上,企業(yè)網(wǎng)絡(luò)安全顧問(wèn)、同時(shí)也是特斯拉S型電動(dòng)汽車用戶的尼特施·丹賈尼公布了自己的一項(xiàng)研究成果。他稱,網(wǎng)絡(luò)黑客僅憑傳統(tǒng)黑客技術(shù)就能破解該款車的6位密碼,從而對(duì)汽車進(jìn)行鎖定和解鎖。
根據(jù)丹賈尼的研究成果,雖然只有隨車遙控鑰匙才能發(fā)動(dòng)特斯拉S 型車,但通過(guò)無(wú)線網(wǎng)絡(luò)發(fā)出的指令也可以對(duì)其進(jìn)行解鎖。他表示,一旦密碼被盜或被解密,黑客就能鎖定該款車的位置,然后進(jìn)入車輛系統(tǒng)竊取內(nèi)容,不過(guò)無(wú)法將轎車開(kāi)走。
據(jù)介紹,當(dāng)用戶訂購(gòu)S型車時(shí),特斯拉要求用戶設(shè)定一個(gè)6位賬戶密碼,用來(lái)解鎖一款手機(jī)應(yīng)用程序,從而激活該用戶的特斯拉在線賬戶。該款應(yīng)用程序可對(duì)車輛進(jìn)行遠(yuǎn)程定位和解鎖,還能夠控制和監(jiān)控該車的其他功能。
丹賈尼表示,破解電腦或在線賬戶的多種方法同樣適用于破解特斯拉S型車的6位密碼。黑客有可能通過(guò)該公司網(wǎng)站猜出用戶設(shè)置的密碼,因?yàn)樘厮估](méi)有對(duì)錯(cuò)誤密碼信息輸入的次數(shù)加以限制。此外,黑客還可以通過(guò)植入病毒竊取用戶電腦中的密碼,或者使用竊取來(lái)的密碼接入用戶使用相同密碼的其他賬戶。
丹賈尼表示:“售價(jià)高達(dá)10萬(wàn)美元的特斯拉S型車依賴這樣一套6位靜態(tài)密碼作安全屏障,真是一個(gè)讓人擔(dān)心的大問(wèn)題。我們不應(yīng)該采用保護(hù)電腦的相同方法來(lái)保護(hù)汽車。”值得慶幸的是,他目前沒(méi)有發(fā)現(xiàn)特斯拉S 型車的主要系統(tǒng)中存在軟件漏洞。據(jù)報(bào)道,丹賈尼已將研究結(jié)果轉(zhuǎn)交特斯拉公司。
20美元5分鐘“攻陷”汽車
2014亞洲黑帽大會(huì)的主題之一就是揭露普通公眾身邊的網(wǎng)絡(luò)安全漏洞,其中互聯(lián)汽車的隱患成為今年會(huì)議一個(gè)新的亮點(diǎn)。大會(huì)上,除丹賈尼公布特斯拉S型車的密碼“軟肋”外,西班牙的網(wǎng)絡(luò)安全研究人員還展示了如何以最低的成本、最短的時(shí)間讓汽車“淪陷”。
據(jù)了解,研究人員花費(fèi)不足20美元,組裝了一款只有蘋(píng)果 i-Phone3/4大小的裝置(CHT)。它可以通過(guò)四根電線與汽車的CAN總線連接,利用車內(nèi)電源系統(tǒng)獲取電力,隨時(shí)待命接收遠(yuǎn)程攻擊者發(fā)出的指令。該設(shè)備在不到5分鐘的時(shí)間內(nèi)即可安裝完畢。
研究人員之一的瓦茲奎斯·維達(dá)爾是一名汽車IT安全顧問(wèn)。他稱:“我們可以等待一分鐘或者一年,在程序設(shè)定的任何時(shí)間操控汽車。”據(jù)維達(dá)爾介紹,至于具體在CHT中植入什么指令,則要取決于不同的車型。他和同事目前可以實(shí)現(xiàn)的操控功能包括關(guān)閉頭燈、車窗、警報(bào)、ABS或緊急剎車系統(tǒng)。
目前,CHT只能通過(guò)藍(lán)牙傳輸數(shù)據(jù),因此攻擊范圍不大。不過(guò),維達(dá)爾稱,他和同事將升級(jí)該系統(tǒng),以便在數(shù)英里控制該裝置。另?yè)?jù)他介紹,CHT的所有零部件都是市面上可以購(gòu)買且無(wú)需改造的,所以即使外界發(fā)現(xiàn)黑客的存在,也很難追蹤其身份。
無(wú)近憂不能無(wú)遠(yuǎn)慮
雖然從理論上設(shè)想,汽車一旦像計(jì)算機(jī)一樣實(shí)現(xiàn)互聯(lián)很難排除黑客入侵的可能,但目前在現(xiàn)實(shí)生活中它的網(wǎng)絡(luò)安全還暫時(shí)無(wú)憂。去年,黑客精英查理·米勒和克里斯·維拉塞克曾表示,能夠使低速行駛的2010款福特翼虎剎車系統(tǒng)失靈。不過(guò),他們需要坐在車內(nèi)實(shí)現(xiàn)筆記本電腦與汽車系統(tǒng)的硬件連接。對(duì)此,福特方面認(rèn)為不必小題大做。該公司方面回應(yīng)稱,既然黑客“無(wú)法實(shí)現(xiàn)遠(yuǎn)程攻擊”,而且需要“在相當(dāng)長(zhǎng)的時(shí)間中實(shí)施高度惡意的直接物理操作”,因此“對(duì)福特用戶和社會(huì)大眾并不構(gòu)成威脅”。
雖然黑客攻擊汽車還缺乏現(xiàn)實(shí)可操作性,但特斯拉S型車6位靜態(tài)密碼容易被盜的事例也提醒汽車制造商,不能對(duì)互聯(lián)汽車網(wǎng)絡(luò)安全問(wèn)題掉以輕心。至少,歐美國(guó)家政府部門已開(kāi)始重視這個(gè)問(wèn)題。比如,美國(guó)國(guó)家高速公路交通安全管理局(NHTSA)啟動(dòng)了針對(duì)汽車被黑客攻擊的網(wǎng)絡(luò)安全調(diào)查項(xiàng)目,并希望設(shè)立車對(duì)車(V2V)技術(shù)工作組負(fù)責(zé)相關(guān)事宜。
MWR信息安全公司總監(jiān)艾利克斯·菲哲指出,汽車制造商或安全系統(tǒng)供應(yīng)商應(yīng)該與研究人員合作,了解他們面臨的汽車網(wǎng)絡(luò)安全威脅和可能造成的不利影響。
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!
- 美國(guó)網(wǎng)絡(luò)司令部繼續(xù)投資開(kāi)發(fā)網(wǎng)攻發(fā)起平臺(tái)JCAP
- 關(guān)稅大棒下的地緣政治博弈:APT組織瞄準(zhǔn)中非命運(yùn)共同體
- 權(quán)威認(rèn)證!Fortinet再奪Gartner SASE平臺(tái)魔力象限領(lǐng)導(dǎo)者
- 供應(yīng)商失職致嚴(yán)重網(wǎng)絡(luò)攻擊,客戶起訴索賠27億元
- 《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)風(fēng)險(xiǎn)分類分級(jí)指南2025年》筑起網(wǎng)絡(luò)安全防線