近日,2名美国黑客导演了一场汽车远程入侵大戏,用一台条记本电脑远程掌握了行驶中的一辆切诺基汽车,从音响、空调、雨刷到发动机和刹车系统全都实现了掌握,可怜的司机失落去了以70码高速行驶的汽车的掌握权,那种惊骇可想而知。
查理·米勒(Charlie Miller)以及克里斯·瓦拉塞克(Chris Valasek)这两名黑客一手“导演”了全体过程。两人进行了永劫光的汽车入侵方面的研究,利用汽车系统存在的“0day漏洞”,通过无线连接入侵了切诺基汽车。
这是汽车生产商和驾驶者的噩梦:通过软件,黑客通过切诺基的车载娱乐系统发送指令,启动仪表盘上的各种功能,包括转向、刹车以及换挡,所有这些都可以通过一台条记本轻松履行,而发起打击的人可以身处任何地点,只需连接至网络即可。
在演示中,两名黑客在驾驶的车辆以西10英里的家中,通过米勒的条记本发起入侵。远程掌握了切诺基的空调系统、收音机以及挡风玻璃雨刮,然后割断了车辆的变速器。
而驾驶员一脚将油门轰到底,发动机转速持续攀升,但切诺基仍旧持续减速,末了险些靠近怠速状态。终极汽车发动机被关闭了,制动失落灵也失落灵了,这统统对付一辆行驶中的汽车无疑是致命的。
成千上万由克莱斯勒出产的轿车、SUV以及卡车都配备了一种称之为“Uconnect”的可联网打算机功能,卖力掌握车辆的娱乐以及导航系统,同时可以拨打电话乃至设立Wi-Fi热点。由于该系统存在的漏洞,任何知道车辆确切IP地址的人都可以通过Uconnect的蜂窝网络连接在任何地点对车辆进行掌握。而两位黑客前面演示的掌握汽车的过程便是利用了这个漏洞。
随着越来越多的汽车具备可联网能力,现实天下中此类事宜的发生数量将呈上升趋势。Uconnect只是浩瀚车载信息系统中的一个,通用汽车的Onstar、雷克萨斯的Enform、丰田的Safety Connect、当代的Bluelink、英菲尼迪的Connection,随便都可以列举出一大堆类似系统。
而前不久的HackPWN安全极客狂欢节启动仪式上,安全专家利用创造的比亚迪汽车云做事平台漏洞,在没有钥匙的情形下,成功利用电脑先后实现了远程开锁、鸣笛、闪灯、开启天窗等操纵,从开始操作到成功破解,只花了不到2分钟的韶光。这次利用的这个比亚迪安全漏洞,存在于比亚迪云做事系统中,会影响到比亚迪稠浊动力汽车秦、思锐、S7和最新的唐等多款搭载比亚迪云做事的汽车。
“虽然演示的过程只有短短几分钟乃至几秒钟,但背后是数周乃至数月的创造和研究过程。”安全专家刘健皓表示:“汽车安全和生命息息相关,因而汽车安全比较其他网络安全问题更加严厉,更应重视和关注。”
据悉,HackPwn2015安全极客狂欢节是环球关注智能生活安全的黑客嘉年华,由国际顶尖的黑客团队360Vulcan Team、360Unicorn Team共同发起,在接管国内外各安全赛事优点的根本上,重金打造的基于智能硬件设备安全的赛事平台,面向所有白帽黑客开放,约请有志于“破解”的白帽黑客共同挖掘市场优势行的智能设备和智能系统的安全漏洞,以此推动业界共同关注并参与万物互联时期安全防护。
组委会干系卖力人表示:“目前智能汽车安全问题日益严重,我们鼓励广大白帽子加强对智能汽车的漏洞的挖掘和研究,所有网络到的所有漏洞都将严格保密,并提交给干系厂商。如果须要,我们还将帮助厂商共同办理。”