不过与物联网一样,车联网一样面临了系统漏洞和黑客入侵的问题。而与物联网平台被黑客攻陷不同,一旦车联网被“目的不纯”的人入侵,那么我们的损失就不仅仅是个人信息和财产这么简单了。黑客能够控制我们的汽车系统,甚至接管我们的方向盘、制动系统,将我们的生命置于危险中。
这样的说法绝不是我们危言耸听,如果你不信,那么就让我们来看看目前已经见诸报端的一些活生生的例子。相信看到这些,对于车联网的安全,你会不由自主的重视起来。
Jeep成黑客攻击“重灾区”
要说黑客们最喜欢的“车肉”,那就要数克莱斯勒旗下的Jeep品牌了。而其中两位名叫Charlie Miller和和Chris Valasek的安全研究员似乎对Jeep充满了“兴趣”。在2015年,两位黑客就曾经控制了一辆名叫Andy Greenberg车主的Jeep Cherokee。
根据这位车主的描述,当它开启了联网功能之后,突然车载空调突然吹出强冷风,然后音响开始用最大音量播放音乐,接下来温度调节和音量调节功能全都失灵。之后,两个黑客将他们的照片显示在了汽车的中控显示屏里,接着风挡清洁液喷出,雨刷开始以最大频率工作。
然后居然还有更让人“心跳”的事情,接下来两位黑客居然让这辆车停了下来,而当Greenberg又继续开始驾驶汽车后,黑客居然设法让刹车失效,然后干脆彻底接管了汽车的控制权,而最后汽车也最后被迫停在路边的斜坡上。不过让人庆幸的是,两位黑客并不是为了要危及这位车主的生命,而只是在评估配备新技术车辆的安全性。而这次攻击事件直接导致了菲亚特克莱斯勒在美国召回了140万辆汽车,并成为去年黑帽会议的主要话题之一。
而在2015年的这次引起轩然大波的一轮测试后,不久之前,Charlie Miller和Chris Valasek再一次将目光对准了Jeep Cherokee,而这一次他们完全控制了汽车的刹车系统。
两名黑客通过CAN bus接入吉普汽车系统,然后使吉普的刹车系统完全瘫痪从而实现控制,他们表示还可以使用更多的远程控制方法,比如用无线连接的隐藏设备进行攻击。黑客可以在攻击过程中重新设计攻击程序发起新的针对性攻击。,可以轻松实现对其的控制。研究人员开发的Uconnect仪表盘信息系统,就这样被轻松攻破,不仅是刹车,雨刷开关,汽车引擎都被控制,但是黑客必须首先与汽车进行实体连接,而不能立即实现远程操控。
通用“安吉星”被攻破
同样是在2015年,另外一位“白帽黑客”Smay Kamkar选择了通用的“安吉星”系统,表示可以利用该产品的一个安全漏洞,在远处就可以解锁汽车并且启动发动机。
Smay Kamkar想出了一个办法来“定位、解锁和远程启动”汽车,他拦截了onStar Remote link移动应用程序和安吉星服务之间的通信。
而随后,通用汽车的首席网络安全官Jeff Massimilla表示,公司非常重视安全研究者,并且推出了一个新的披露项目。在这个项目当中,他们将与安全漏洞赏金平台HackerOne进行合作,并通过白帽黑客来获知潜在的安全问题。更为重要的是,这个项目的上线确保了这些安全研究者可以在不用担心被起诉的前提下破解通用的汽车。
根据通用的介绍,任何心怀好意的人都可以尝试破解他们的汽车,而不必面临法律诉讼,只要他们不违反法律,或是对公司及顾客造成伤害。当发现安全漏洞之后,黑客只能在通用汽车修复问题之后才公布自己的发现。
奔驰宝马同样未能幸免
而就在Samy Kamkar成功攻克通用安吉星之后,就连奔驰和宝马这样的豪华汽车品牌同样未能幸免。
Kamkar表示,包括宝马的Remote、奔驰的mbrace以及克莱斯勒的Uconnect的App都同样在SSL证书验证上存在漏洞,只要手握证书就可以模仿App与远程服务器进行通讯,并实现原App提供的相应的功能,而且这些证书并非只是一次有效,其有效期与车主相同,也就是说拿到了这个证书,就相当于获得了车主的管理员权限。
而车主被入侵后,包括家庭住址、电子邮件地址、信用卡信息等都会被黑客获取,同时部分车型还可以被远程控制启动解锁汽车。
特斯拉遭破解
在2015年的DEF CON 23数字安全会议上,安全专家Kevin Mahaffey和Marc Rogers演示了通过Model S存在的漏洞打开车门、启动并成功开走,此外还能向Model S发送“自杀”命令,在车辆正常行驶中突然关闭系统引擎让车辆停下来。
安全专家在移除Model S车身上的橡胶等设备之后,发现一共有两个可拆卸移除的SD卡、USB接口、一套诊断端口和一个神秘的专用线缆。而安全专家利用这个神秘端口通过网线线缆和一些透明胶带Mahaffey和Rogers终于能够访问车辆的板载网络。在将车辆连接到一个网络交换机上之后,他们就能进一步连接到Model S的网络连接,并充分利用VPN连接到特斯拉的服务器上下载和反编译固件。
在完成固件的破解之后,就意味着安全人员具备操作特斯拉更多的权限。通过这两项漏洞的结合,无线连接、通过SD卡上发现数字汽车密钥数据、连接到特斯拉服务器的物理VPN连接,几乎允许安全人员完全访问称之为QtCarVehicle的汽车服务,而且汽车所有功能都可以被控制。
丰田和福特也“挺惨”
又是Charlie Miller和Chris Valasek这两位白帽黑客,它们在2013年的DefCon黑客大会上,对丰田普锐斯和福特Escape两款车型演示了如何利用一台电脑,入侵汽车的电子控制系统,进而接管车辆的控制权,包括转向、制动、加速以及仪表显示等。
随着越来越多的车型被黑客破解,今年年初,美国FBI甚至联合美国国家告诉公路交通安全管理局发布公告,正式提示汽车制造商和车主,一些车辆附加上网功能,可能会遭受网络“黑客”攻击。
这一提示以“公共服务告知”形式发布。两家政府机构警示称,“车联网”技术越来越多地应用到汽车中,但却带来了潜在的信息安全威胁。即使黑客“接管”对车辆的控制,所造成的事故未必对人身安全构成风险,车主也有必要采取措施,以便把风险降至最低。
其实,现在的汽车厂商,或许太专心于外观和时尚,而忽视了汽车的安全问题,特别是汽车这样容易造成身体伤残和重大事故的产品,安全问题更应该是需要严格重视的。
另外,有些汽车制造商为了能用上最新的技术,甚至不惜将用户数据置于“裸奔”的境地中。在当今汽车公司均大力发展智能汽车系统的情况下,对于汽车系统的安全性无疑要更加重视才行。毕竟,汽车不同于手机、电脑,一旦被入侵,人们的生命会受到更大威胁。所以,整个产业群都应该更加关注智能汽车系统、自动驾驶汽车的安全性,提供更为严谨的加密机制。