Zubie是一个小盒子,可插入大多数现代汽车中的车载诊断(ODBII)端口。它使用户能够了解自己的驾驶状况,并提供了一些技巧,以合理,经济的方式延长行驶里程。直到最近,Zubie的安全性严重失误,可能使用户容易受到远程劫持汽车的攻击。<
这个漏洞-由以色列国防军的精英网络安全团队8200的校友发现-可能
Zubie通过GPRS连接到远程服务器,该GPRS用于将收集的数据发送到中央服务器,以及为了获得安全性。更新。
研究人员发现该设备犯了网络安全的主要罪行之一,并且没有通过加密连接与家庭服务器进行通信。结果,他们能够欺骗Zubie中央服务器,并将某些特制恶意软件发送到设备。
以下是该攻击的更多详细信息,您将很高兴得知该问题。此后已修复。但是,这确实提出了一个有趣的问题。我们的汽车有多安全?
事实与虚构
对于许多人来说,驾驶并不是奢侈。这是必不可少的
这是很危险的。大多数人都对跟上方向盘相关的风险太熟悉了。车祸是世界上最大的杀手之一,仅在2010年,就有124万人丧生。
但是,道路交通事故的死亡人数正在下降,这在很大程度上是由于复杂道路的普及率增加安全技术。这些东西太多了,无法全面列出,但也许最流行的例子是OnStar,可在美国,加拿大和中国使用。
该技术–仅在通用汽车以及其他车辆中可用由选择许可该技术的公司来监控您的汽车的健康状况。它可以提供转弯路线,并在遇到意外时自动提供帮助。
将近600万人订阅了OnStar。越来越多的人使用远程信息处理系统,使保险公司能够跟踪汽车的行驶状况并定制保险方案以奖励明智的驾驶员。贾斯汀·丹尼斯(Justin Dennis)最近审查了类似的东西,称为Metromile by Metromile和iOS智能手机应用。
由于这些技术已经普及,因此人们意识到可以被黑客入侵。
2008年的惊悚片《 Untraceable》的突出特点是装备了OnStar的汽车被电影的对手“吓死了",以引诱某个人进入陷阱。在2009年,荷兰IT公司InfoSupport推出了一系列广告,展示了一个虚构的黑客,名为Max Cornellise,他仅使用笔记本电脑就可以远程入侵汽车系统,包括Porsche 911。
所以,周围充满了不确定性问题,重要的是要知道可以做什么,以及科幻小说领域仍然存在哪些威胁。
汽车黑客简史?
在好莱坞以外,安全研究人员
在2013年,查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)展示了一次攻击,他们攻陷了福特Escape和丰田普锐斯(Toyota Prius),并设法控制了制动和转向设备。但是,这种攻击有一个主要缺点,因为它取决于将笔记本电脑插入车辆中。这使安全研究人员感到好奇,并想知道是否有可能完成同一件事,但又不会物理地束缚在汽车上。
一年后,当米勒和瓦拉塞克进行了一次甚至两次辩论时,这个问题最终得到了回答。关于24种不同型号汽车的安全性的更详细研究。这次,他们专注于攻击者进行远程攻击的能力。他们的广泛研究得出了一份93页的报告,该报告发表在Scribd上,与他们在拉斯维加斯Blackhat安全会议上的后续讲话相吻合。
这表明我们的汽车不像以前那样安全。认为,其中许多人缺乏最基本的网络安全保护。该死报告强调了凯迪拉克凯雷德,吉普切诺基和英菲尼迪Q50是最容易受到远程攻击的。
当我们专门研究Infinity Q10时,我们看到一些重大安全漏洞。
使英菲尼迪(Infiniti)如此引人注目的原因还在于它如此脆弱。像近年来生产的许多高端汽车一样,它具有大量的技术功能,旨在使驾驶体验更加愉悦。这些范围从无钥匙解锁到无线胎压监测,再到与汽车连接的``个人助理''智能手机应用程序。
根据Miller和Vlasek的说法,其中一些技术功能并非孤立存在,但而是直接与负责发动机控制和制动的系统联网。这就使得攻击者有可能访问汽车的内部网络,然后利用位于基本系统之一中的漏洞来崩溃或干扰车辆。
无钥匙解锁和迅速地将“个人助理"视为驾驶员的必备条件,但正如查理·米勒(Charlie Miller)突出指出的那样,“他们都可以互相交谈有点令人恐惧。"
但是我们仍然非常理论上的世界。 Miller和Vlasek展示了攻击的潜在途径,但不是实际攻击。有没有任何例子可以证明有人实际上设法干扰了汽车的计算机系统?
那么,不乏针对无钥匙解锁功能的攻击。甚至在今年早些时候在澳大利亚举行的Blackhat安全会议上,澳大利亚安全研究员Silvio Cesare进行了演示。
他只用了价值1000美元的现成工具,就可以欺骗来自钥匙扣,让他可以远程解锁汽车。攻击依赖于有人物理存在于汽车附近,可能会持续几个小时,这是因为计算机和无线电天线会试图强行安装在汽车无钥匙解锁系统中的接收器。
一旦汽车已经打开时,攻击者可能会试图偷车,或者帮助自己解决驾驶员留下的任何无人看管的物品。
是否有任何防御措施?
这取决于。
已经有某种形式的保护措施可防止发现远程访问漏洞查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)。在他们进行Blackhat讨论后的几个月中,他们已经能够构造一种充当入侵检测系统(IDS)的设备。这并不能阻止攻击,而是向驾驶员指示何时可能正在进行攻击。零件成本约为150美元,并且需要一些电子技术知识来构建。
Zubie漏洞有点棘手。尽管此漏洞已被修补,但漏洞并不在于汽车,而在于与之相连的第三方设备。汽车虽然有其自身的建筑安全性,但似乎增加其他附加条件只会增加潜在的攻击途径。
也许真正安全的唯一方法是驾驶旧车汽车。它缺乏现代高端汽车的繁复,无法抵制将东西推入ODBII端口的冲动。简单便有安全性。
开车安全吗?
安全性是一个不断发展的过程。
随着人们对周围威胁的了解越来越深一个系统,系统会不断发展以防御它们。但是汽车世界还没有ShellShock。我想如果它遇到了第一个关键威胁-如果可以的话,那就是第一个零日-汽车制造商将做出适当反应并采取措施使车辆安全性更加严格。
但是您怎么看? ? 这有点乐观吗?您担心黑客接管您的汽车吗?我想听听。
标签:
