专栏首页FreeBuf汽车攻击离你很近:一分钟变成汽车黑客

汽车攻击离你很近:一分钟变成汽车黑客

作者 tofreebuf

虽然今夜我无法预测巴西历史性的大比分惨败德国,但2年前我对移动安全的预言至少对了一半:

手机病毒的发展轨迹沿袭着PC时代病毒脚本:且加壳且变异;PC时代10年的历程在手机上3年内加速完成。

今年我慢慢体会到了应该还有半句话:移动产品的销售模式和PC市场是不同的,面对的应该是mobile emerging markets。这就是为什么一些安全厂商把传统PC产品思路稍加修改放到手机中去销售觉得非常别扭而且效果也不好。手机只是一个威胁传输的平台,移动威胁会跟随使用者进入到新的领域,由此扩散到这个领域,形成一个新兴市场。所以,手机不是威胁爆发的目的地,而是一个载体。移动安全产品应该要进入到这些新兴市场。 事实上,BYOD也是符合这一规律的:员工带着手机设备进入到公司工作,IT部分必须为这种新的工作设备和手段进行安全防护。此外,车联网和可穿戴设备就是新兴市场的代表。

汽车攻击的研究早在2010年由美国的两所大学做了尝试性的研究,去年下半年到今年的黑客大会,DEFCON, SYSCAN陆续有研究人员重现和改进了攻击方法,包括自己做硬件设备查到OBD2口上。但是依然觉得技术门槛对一般人较高,汽车试验比较昂贵,离我们生活很远。 就在我们研究小组车车联网安全研究进行中,腾讯突然出了路宝盒子,虽然只是一个试水产品,但是显示出国内的车联网入口争夺比预想地来的更早。所以我们小组加班加点,做出来首家车联网安全硬件的演示产品,计划在7月份的syscan360上发布出来。这款硬件产品将能帮助目前车联网诊断盒子,租车公司,汽车电子钥匙和车主有效的阻止对汽车劫持的恶意攻击发生。

虽然还有不少地方需要改进和完善,但和之前DEFCON,黑客大会,SYSCAN 会议研究比较,我们有下面几点不同:

  1. 使得攻击汽车门槛变得很低,草根化: 开发和验证了第一款对汽车进行攻击的安卓应用,无需额外定制硬件电路,只要在网上购买几十人民币现成的诊断设备,利用他们的安全漏洞,配合这款简单的手机应用就可以对汽车进行攻击!这将证明对汽车攻击时多么的简单,而且攻击者不需要对汽车有多深的理解,1分钟你就成为汽车黑客。

2. 相关厂商产品安全漏洞:找到好几家商业厂商销售的汽车盒子,可以破解,在他们的产品上直接进行攻击。安全隐患不解决,车联网社交平台无从谈起。我们会通知他们。

3. 车外攻击:攻击者无需在车里,在车外就可以通过手机WIFI甚至3G/4G,让被攻击者的汽车在驾驶途中熄火,遥控打开其后备箱进行偷盗,模拟电子钥匙打开车门车窗(租车公司痛点)等动作。

4. 更注重防范:总结了对汽车攻击的方法,做出了演示的硬件产品,可以有效的防止这些攻击。

不担心安全人员和其他技术人员在新领域的专研能力,汽车逆向的技术应该在短时间内会被掌握。汽车攻击技术会比手机病毒发展还要迅速。相反,由于汽车制造商的产品周期,3-4年不会提供本质的安全解决方案,所以,猫还没有生出来,小老鼠称大王。需要有安全的防护,相关的aftermarket 空间很大。

其实,汽车攻击无非就那几个动作,但就是这些小动作会造成汽车甚至车主生命上的损失。

更多细节信息将在SYSCAN360结束后公布。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-07-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 10招步骤保护IIS服务器安全

    问题 IIS(Internet Information Server)是黑客特别喜欢的目标。因此,对于管理IIS网页服务器的管理员来说,确保服务器安全是一件至...

    张善友
  • 2017年度最弱鸡密码出炉:霸主仍旧无人能及

    【天极网网络频道】互联网的危险无处不在,因而为自己的账户挑选一个安全系数高的秘密是一个很重要的事情,甚至还有用户不辞劳苦地为其所有账户都设置了双因素认证。尚有不...

    企鹅号小编
  • 愚蠢的”记住“密码方式终于还是出了问题

    E安全12月29日讯 美国知名家谱网站Ancestry.com旗下的在线社区网站RootsWeb.com数据泄露,30万账户明文暴露在网上,涉及用户名、电子邮箱...

    企鹅号小编
  • 开源Web服务器GoAhead远程代码执行漏洞 影响数十万物联网设备

    导语:近日,据外媒报道称,来自网络安全公司Elttam的研究人员在GoAhead Web 服务器中发现了一个安全漏洞,将对数十万的物联网设备造成严重影响,因为利...

    企鹅号小编
  • 终被捕!5名罗马尼亚黑客因入侵华盛顿政府摄像头被捕

    导语:作为国际勒索软件案调查的一部分,美国和欧洲(英国、荷兰、罗马尼亚)执法当局于上周三(12月20日)正式对外宣布称,他们在过去一周已经合作逮捕了五名罗马尼亚...

    企鹅号小编
  • 物联网弊端:奥地利旅馆被入侵后的反思

    导语:物联网给我们的生活带来了许多便利——例如,一些镇的集成交通系统——然而物联网也大大提高了网络安全方面的风险。我们应该如何应对这些新的威胁呢? ? Chri...

    企鹅号小编
  • 史上十大最严重黑客袭击事件盘点

    【美国400万政府雇员资料被窃】 美国政府机构计算机网络不久前遭遇史上最大黑客袭击事件,美国联邦人事管理局成为袭击首要目标,400万联邦政府现任雇员和前雇员资料...

    企鹅号小编
  • RSA 2018:从大会议题看2018年网络安全趋势

    根据RSA 2018大会提交的议题资料,可以发现我们正处于安全领域的一大关键性时刻,而明年4月的大会也必将满载激动人心的精彩内容。除了即将出台的全球性重大政策与...

    企鹅号小编
  • 2017影响扑克圈的黑暗事件

    今年扑克圈出现的问题也是全世界相关问题的映射。人类社会感受到了数字入侵的危害和勒索软件的威胁,也无法忽视某个叫做比特币的东西价格飙升,这些意想不到的势力也扩张到...

    企鹅号小编
  • 黑客横行,全球安全系统集成市场将破百亿美元

    据Markets and markets最新报告指出,2017年全球安全系统集成市场达97.6亿美元,未来五年(2022年)将成长至147.2亿美元,年复合增长...

    企鹅号小编

扫码关注云+社区

领取腾讯云代金券