20款智能车易被骇客攻击 致汽车失控

据《每日邮报》报导,克里斯‧瓦勒塞克(Chris Valasek)和查理‧米勒(Charlie Mille)对24种不同品牌和型号的车款进行研究,撰写了一份92页的报告,在8月6日拉斯维加斯举办的黑帽安全大会上发布。报告评估车辆容易受骇客攻击的薄弱之处,并给出车辆各个联网部件受攻击可能性的打分和评论手册。

两位专家给出了24款车型中20款车的网络安全评级,其中14款为2014款或2015款新车。一般来说,旧款车因为车载移动装置较少,受攻击的漏洞也相应不多。报告显示,如果除去6种旧款车,新车款中,2014年吉普切诺基(Jeep Cherokee)和2015年凯迪拉克凯雷德(Cadillac Escalade)是最脆弱的车款;表现不佳的车款还有2014年英菲尼迪(Infiniti)Q50,2014年丰田普锐斯(Prius)。

新车中,2014款道奇Vipe、2014款奥迪A8和2014款本田雅阁LX相对较难遭骇客攻克。

 


表现不佳的车款还有2014年英菲尼迪Q50,2014年丰田普锐斯(Prius)。(AFP)

三个因素评估汽车网络安全

瓦勒塞克在安全谘询公司IOActive任职车辆安全研究主任,米勒则是推特的安全工程师。他们的报告已被分享给美国交通运输部和汽车工程师协会。

在本次评估汽车是否容易被骇客攻破中,他们基于三个因素,并不是实际去攻破任一车款。

第一个因素是无线“受攻击面”(attack surface),包括蓝牙、Wi-Fi、移动连接、无钥匙进入系统,甚至收音机和可读数的轮胎压力监测系统。这些无线连接的任意一个设备都可能被骇客利用,藉此找到安全漏洞,获得登上汽车网络的首个立足点。

第二是“车辆网络架构”(network architecture),这个指标主要测试骇客入侵上述无线设备到什么程度,便可操控汽车喇叭、方向盘和刹车。

第三,瓦勒塞克和米勒评估汽车的“网络体魄”(cyber physical),如自动制动、停车和车道辅助的能力,它们一旦接收伪造的数字指令,就会把汽车变成失控的疯子。

瓦勒塞克和米勒去年曾经示范,如何攻破丰田普锐斯和福特Escape。他们利用一台笔记本电脑,连接上汽车的电子系统,他们可以远程控制刹车,油门,改变车速表,开关大灯打开,收紧安全带,甚至让喇叭大叫。

移动设备和汽车控制系统共享网络 风险大

另据CBS58新闻报导,报告称,2014年吉普切诺基和2015年凯迪拉克凯雷德都有一个固有的安全缺陷,即汽车的应用程序、蓝牙、远程信息处理,以及将车子连接到卫星网络的系统,和引擎控制、方向盘、制动系统和轮胎压力监测系统,处在同一个网络上。 

2014年丰田普锐斯的AM / FM/ XM卫星广播、蓝牙,和引擎控制、方向盘、制动系统和轮胎压力监测系统,处在同一个网络上。

两位专家表示,汽车的网络系统,可以成为骇客的网关。如果汽车重要部位,如引擎控制,和车载移动系统在一个网络上,会给汽车带来风险。只要这些车载移动设备有任何漏洞,骇客对汽车进行操纵就是一步之遥。

他们举例说:“如果有人不小心把病毒下载到手机上,手机连着蓝牙,蓝牙和制动系统处于同一网络,骇客就可以让这部车急刹车。”

他们说,英菲尼迪Q50的架构中,无线和远程信息处理部件都是直接连接到引擎和制动系统。另外该款车的关键驱动系统中整合了电脑控制的功能,如自适应巡航控制和自适应转向,这给骇客提供了可乘之机,能够手动操纵汽车。

两位安全专家表示,在安全研究人员展示可以远程操控现代汽车时,对汽车安全的关注已经从边缘转到主流。“恶意攻击者利用远程漏洞,可能做启动麦克风窃听、控制方向盘和让刹车失灵等任何事情。”

“因为每个制造商设计的车款都不同,远程威胁分析必须避免泛泛而谈。”他们说,“我们的研究需要退后一步,从安全角度审视大量不同厂家生产的汽车。”

该项目由美国国防部高级研究计划局赞助,以研究现代化汽车的安全隐患。

汽车制造商回应

英菲尼迪发言人表示:“他们2人没骇过一辆Q50,所谓没有调查研究就没有发言权。”不过这位发言人也表示,“英菲尼迪正在积极检视研究者们的结论。”

克莱斯勒发言人在一份声明中写道,公司将“努力核实这些说法,如有必要,我们会纠正他们。”

凯迪拉克发言人说:“该报告没有提到安装在凯雷德上的许多新安全功能和机制,它对这款车的电子系统描述是不完全准确的。”声明还强调,“两位的报告中使用的是公开数据,但这款车的一些私人数据并没有公开。”

丰田和通用都没有立即回应这个评论。

20款汽车的评分一览

以下20款车是根据《每日邮报》的资料整理而来。注:在评分中,加号表示更容易被入侵,减号表示不容易被入侵,双重符号表示程度更高。

1、2014款吉普切诺基(Jeep Cherokee)
受攻击面:++网络架构:++网络体魄:++

2、2014款英菲尼迪Q50(Infiniti Q50)
受攻击面:++网络架构:+信息物理功能:+

3、2015款凯迪拉克凯雷德(Cadillac Escalade)
受攻击面:++网络架构:+网络体魄:+

4、2014款丰田普锐斯(Toyota Prius)
受攻击面:+网络架构:+网络体魄:++

5、2010款丰田普锐斯(Toyota Prius)
受攻击面:+网络架构:+网络体魄:++

6、2014款道奇Ram 3500(Dodge Ram 3500)
受攻击面:++网络架构:++网络体魄:–

7、2014款克莱斯勒300 
受攻击面:++网络架构:-网络体魄:++

8、2014款福特Fusion(Ford Fusion)
受攻击面:++网络架构:-网络体魄:++

9、2014款路虎揽胜极光(Range Rover Evoque)
受攻击面:++网络架构:-网络体魄:++

10、2014款宝马X3(BMW X3)
受攻击面:++网络架构:–网络体魄:++

11、2014款宝马i12(BMW i12)
受攻击面:++网络架构:–网络体魄:+

12、2014款宝马3系(BMW 3 Series)
受攻击面:++网络架构:–网络体魄:+

13、2014款奥迪A8(Audi A8)
受攻击面:++网络架构:–网络体魄:+

14、2014款本田雅阁LX(Honda Accord LX)
受攻击面:-网络架构:+网络体魄:+

15、2014款道奇Vipe(Dodge Viper)
受攻击面++网络架构:-网络体魄:–

16、2010款英菲尼迪G37(Infiniti G37)
受攻击面:-网络架构:++网络体魄:+

17、2010款路虎揽胜运动版 (Range Rover Sport)
受攻击面:-网络架构:–网络体魄: –

18、2006款路虎揽胜运动版(Range Rover Sport)
受攻击面:-网络架构:–网络体魄: –

19、2006款丰田普锐斯(Toyota Prius)
受攻击面:-网络架构:–网络体魄:–

20、2006款福特Fusion(Ford Fusion)
受攻击面:–网络架构:–网络体魄:

大纪元记者郑孝祺综合报导

责任编辑:李晓清

Pin It on Pinterest

Share This
返回顶部
大纪元德国生活网简介 | 授权与许可 | 版权©2016年大纪元德国生活网 保留所有权利