编译/ 张 鸥
编辑/ 吴 静
(资料图片)
设计/ 琚 佳
来源 /Ars Technica,作者:Jonathan M. Gitlin,题图:Aurich Lawson/Getty Images
如果你在最近几年里购买了一辆新车,那么它大概率至少包含一个嵌入式调制解调器,用来提供连接服务。这能够带来不少好处,如在寒冷的早晨进行车内预热,在故障发生前发出警告诊断,以及青少年司机监控等安全功能。
在一些地区,联网汽车甚至是强制性的,如欧盟的eCall系统。eCall是一项欧洲倡议,旨在为欧盟任何地方发生碰撞的驾车者提供快速援助。2018年4月起,欧盟境内销售的所有新车强制配备eCall。
而另一方面,这些系统所引发的汽车黑客事件已经出现至少十多年了,直到2015年引起巨大反响的吉普车黑客事件,这个问题才终于得到重视。
当时,一对黑客通过这款SUV信息娱乐系统中的一个漏洞,在驾驶过程中远程禁用车辆。从那时起,一些汽车的Wi-Fi网络、NFC钥匙和蓝牙以及第三方远程信息处理系统都被检查出了安全漏洞。
安全研究员查理·米勒(Charlie Miller)试图从沟渠中拉回一辆吉普切诺基,因为它的刹车在受控测试中被远程禁用。▼
2022年底,一位名叫萨姆·库里(Sam Curry)的黑客测试了各个汽车制造商和远程信息处理系统的安全性,果不其然发现了安全漏洞,或者以他自己的标准来说,所见之处都是漏洞。
2022年秋天,库里在访问马里兰大学时决定探索汽车行业数字内容潜在风险,因为他在玩一个电动滑板车的应用程序时发现,他可以打开整个车队的喇叭和大灯。在向滑板车公司报告了这一漏洞后,库里和他的伙伴们将注意力转向了更大的车辆。
漏洞百出
库里说:“我们意识到,在过去五年里制造的每一辆汽车都有几乎相同的功能。如果攻击者能够找到车辆远程信息处理系统使用的API端点的漏洞,他们就可以做到远程按喇叭、闪灯、远程跟踪、锁定/解锁和启动/停止车辆。”
他们发现16家汽车制造商、LoJack等联网汽车系统、新的数字车牌、甚至美国广播公司Sirius XM电台都存在广泛的问题。
除了车辆识别码之外,黑客还能够访问讴歌、本田、英菲尼迪、起亚和日产汽车的远程服务,包括定位和解锁汽车,启动或停止发动机,或鸣笛。也有可能通过一个VIN码接管一个用户的账户。在起亚的案例中,研究人员甚至可以访问车辆上的实时停车摄像头。
Genesis和现代汽车同样如此,尽管是通过车主的电子邮件地址而不是VIN。保时捷的车辆也容易受到远程信息处理漏洞的影响,库里能够定位车辆并发送命令。
库里研究报告中的代码截图▼
“提供LoJack等服务的远程信息处理公司Spireon有多个安全漏洞,使黑客能够获得对全公司管理面板的全部管理员权限,并能够向大约1550万辆汽车发送任意命令(解锁、启动发动机、禁用启动器等),读取任何设备位置,并闪现/更新设备固件。”库里说。
有一次,库里和他的同事进入了一个随机的车队账户,紧接着收到了一个美国警察局的管理邀请,在那里可以跟踪整个警察车队。
2022年10月,加州批准了数字车牌。库里发现,他依旧可以获得超级管理员权限并管理所有用户账户和设备,包括跟踪汽车和改变e-ink车牌上显示的信息。
梅赛德斯-奔驰、宝马和劳斯莱斯都是通过单一登录漏洞被入侵的,这些漏洞允许访问企业网络和员工或客户的个人身份信息。福特的远程信息处理API容易受到黑客攻击,也暴露了客户的信息。黑客甚至能够找到法拉利、捷豹路虎和丰田金融客户的信息。
此外,泄露的亚马逊网络服务密钥使黑客能够进入卫星广播供应商Sirius XM,检索所有文件,包括用户数据库、源代码和配置文件。
与智能手机App兼容的e-ink电子车牌▼
(来源:Riviver)
补救中的汽车公司
令人鼓舞的消息是,黑客的发现使受影响的公司修复了他们的缺陷。
讴歌和本田的发言人说:“本田已经知悉SiriusXM联网汽车服务的报告漏洞,根据SiriusXM的说法,他们很快就解决了。本田没有看到任何迹象表明,有人恶意利用这个现已解决的漏洞来访问本田或讴歌车辆的联网车辆服务。”
宝马集团发言人称:“宝马正在持续监测系统状况,以发现可能的漏洞或安全威胁。此外,我们也在定期与外部安全专家密切合作。至于库里文章中提到的漏洞,已经根据我们的安全标准操作程序(例如,Bug Bounty Program)进行了处理。所处理的漏洞问题在24小时内被关闭,没有数据泄露。因此,客户、员工或与车辆相关的IT系统没有受到影响,也没有受到损害。”
关于福特远程信息处理系统的漏洞,该公司同样表示进行了修复。
现代汽车和Genesis的发言人说:“现代汽车与第三方顾问勤奋工作,在研究人员(库里)提醒我们注意这个所谓的漏洞后立即进行了调查。重要的是,除了属于研究人员自己的现代汽车和账户外,我们的调查表明,无论是现代汽车还是Genesis的客户车辆或账户,都没有因为这个问题而被他人非法访问。”
“我们还注意到,想要利用这个所谓的漏洞,需要获取与特定的现代/Genesis账户和车辆相关的电子邮件地址以及库里使用的特定网络脚本。”该发言人继续说,“尽管如此,我们在接到通知后的几天内就采取了应对措施,以进一步加强我们系统的安全和保障。另外,现代汽车和Genesis均未受到Sirius XM授权缺陷的影响。”
梅赛德斯-奔驰则表示库里所报告的漏洞已经修复,所发现的漏洞并没有影响车辆的安全。
e-ink电子车牌服务商Reviver公司的一位发言人说:“我们的团队对这一报告进行了调查,与该研究人员进行了会谈,并出于谨慎考虑,聘请了领先的数据安全和隐私专家进行协助。”
“他们在24小时内为应用程序打了补丁,并采取了进一步的措施,以防止将来发生这种情况。”Reviver发言人继续说道,“我们的调查证实,这个潜在的漏洞没有被滥用。客户信息没有受到影响,也没有证据表明与这份报告有关的持续风险。作为我们对数据安全和隐私承诺的一部分,我们还利用这个机会实施了额外的保障措施。”
库里发表在自己网站的文章名为《网络黑客与汽车行业:法拉利、宝马、劳斯莱斯、保时捷等的关键漏洞》▼
(来源:samcurry.net)
白宫希望国家标准与技术研究所和联邦贸易委员会提出一套基本的安全标准,以便美国人可以一眼看出新的扬声器或洗衣机是否有加入僵尸网络或被勒索软件攻击的危险。
2022年10月,黑莓公司就此进行了一次网络调查,几乎四分之三的人都认为,联网汽车和电动车充电器应该根据其抵御网络安全威胁的能力进行评级。
现在看来,这个评级或许真的十分有必要。
本文由汽车商业评论原创出品
转载或内容合作请联系说明
违规转载必究
违规转载必究