汽车也不安全:黑客将攻击目标转至车轮上的计算机
预计汽车将成为今年黑帽技术大会上的焦点
凤凰科技讯 北京时间8月5日消息,《华尔街日报》网络版今天刊文称,随着汽车数字化程度越来越高,逐渐成为安装在“车轮”上的计算机,各种安全问题也随之暴露出来,不过好在汽车厂商和政府都注意到了这一问题。
以下为文章全文:
过去20年,黑客们每年夏季都会到拉斯维加斯参加黑帽技术大会(Black Hat),展示攻击计算机的技术。现在,他们的攻击目标转向了汽车。
曾为美国国家安全局工作的一名Twitter工程师,计划当地时间周三在黑帽技术大会上展示如何在笔记本上控制数英里之外的Jeep切诺基汽车。一家移动安全创业公司的一名高管,计划周四展示与一名好友合作攻击特斯拉电动汽车。另外一名研究人员计划演示无线打开任何汽车车门的“绝技”。
在采用新技术的同时忽视了安全
这些演示突出表明汽车越来越像安装在车轮上的计算机,而且带有使司机能串流音乐和找到附近加油站的互联网连接。特斯拉汽车通过互联网连接下载操作系统更新包,调整提速等特性。
在黑客眼中,这些很酷的新功能是有诱惑力的攻击目标。他们还认为,这些新功能表明汽车厂商在采用新技术的同时忽视了安全。手机网络和互联网就是如此。
网络安全组织SANS Institute资深成员、Counter Hack创始人埃德·斯柯迪斯(Ed Skoudis)表示,“每一个新时代开始时都会相当糟糕,然后我们必须对它进行改进,这可能也是一种经济规律。”
当汽车开始引入连接功能时,最初的安全担忧主要集中在分心驾驶上。2012年有关道奇Ram卡车和Viper赛车Uconnect功能的新闻稿称,“客户可以一边利用突破性的功能与外界保持联系,一边驾车。”Uconnect是菲亚特克莱斯勒提供的车载娱乐和通信系统。
本周在拉斯维加斯,两名研究人员将演示如何利用Uconnect系统中的一处缺陷,在数英里之外控制Jeep切诺基汽车。据一名知情人士和相关联邦文件称,菲亚特克莱斯勒早在2014年1月就知道该缺陷的存在,但没有意识到它能被用来控制汽车。
在研究人员公开他们的研究前夕,菲亚特克莱斯勒上个月发布了补丁软件,并召回受影响的汽车。其中一名研究人员查理·米勒(Charlie Miller)表示,菲亚特克莱斯勒的补丁软件似乎能阻止他对Uconnect的攻击,但可能无法阻止黑客以其他方式控制汽车。
菲亚特克莱斯勒在一份声明中说,“这次召回解决的软件操纵问题,要求攻击者掌握大量罕见的技术知识,长时间地接触目标车辆,还需要有相当长的时间编写代码。”
在这次会议上,两名研究人员计划分享“使你能远程和以本地方式攻击特斯拉Model S”的研究成果。会议第三场演讲的题目是:《像攻击汽车一样开车:无线盗窃汽车的新攻击和工具》(Drive It Like You Hacked It: New Attacks and Tools to Wirelessly Steal Cars)。
特斯拉称,其安全团队成员将在黑帽技术大会上讨论上述攻击Model S的研究成果。
引起政府和汽车产业关注
政府已经注意到这一趋势。上个月,两名参议员提出了要求美国联邦贸易委员会和国家公路交通安全管理局制定联网汽车网络安全标准的法案。
两大汽车行业组织——美国汽车制造商联合会和全球汽车制造商协会,上个月成立了一个社团,共享与汽车网络安全威胁有关的信息。
美国汽车制造商联合会发言人韦德·牛顿(Wade Newton)在一份书面声明中称,“多年来,汽车厂商一直在多个方面努力,解决产品安全问题。这一工作的起点是产品设计和开发的最初阶段,是一个持续的过程。”
曾担任美国参议院助理的网络安全创业公司BitSight Technologies员工雅各布·奥尔科特(Jacob Olcott)称,“汽车将有网络安全等级。”他说,汽车厂商愿意通过制定自己的标准,防止政府出台相关法律法规,“想像一下,如果政府监管机构开始要求对汽车的软件代码进行逐行评估,那将是疯狂的。”(编译/霜叶)