汽车制造商对安全问题视而不见

汽车每年都在变得越来越智能化,但它们日益增长的计算能力并没有得到良好的IT安全措施的支持——黑客攻击是孩子们的游戏。

这是卡巴斯基安全分析师峰会上一系列演讲者的结论。这些安全研究人员已经证明,将软件引入车辆以窃取数据、控制重要功能、绕过警报和电子关键系统甚至撞坏汽车是多么容易。

罗马尼亚网络测试公司Ixia的首席安全研究员Stefan Tanase说:“现在大多数汽车基本上都好像是带有四个轮子的电脑。

“唯一的区别是,当你的电脑出现问题时,它不会影响你的身体安全,但汽车可以让你的生命处于危险之中,汽车安全是行业需要认真对待的事情。”

他的同事加布里埃尔·西利格最近买了一辆车,他们决定要看看黑车有多困难。事实证明这很容易。他们甚至把它变成了一架能够识别和记录Wi-Fi连接的战争驾驶机器。

Cirlig在一个公开的汽车黑客网站上发现了一些代码,该网站声称能够对汽车的控制系统进行root访问。在使用了autorun支持的USB接口后,他添加了代码,发现它像一个符咒一样工作,并进入了汽车的信息娱乐系统。

他的发现相当令人不安。当他早些时候把他的手机连接到汽车上时,他的整个通讯录和电子邮件列表都被偷走了,他收到了一份短信,并记录了他上个月访问过的最频繁的地点——所有这些都存储在纯文本中,对那些对监视感兴趣的人来说是完美的。

在安装了UNIX Cron软件以确保持久性之后,这两家公司能够设置汽车的Wi-Fi,以扫描打开的连接。幸运的是,从远处通过Wi-Fi攻击汽车似乎是不可能的,但两人表示,如果有足够的研究,这可能是可行的。

Cirlig还发现了与汽车自动制动软件相关的软件有用的东西。汽车发出40khz的声音脉冲,并使用回声定位来检测道路是否存在障碍物,并在碰撞即将发生时刹车。

他的理论是,如果你在另一辆车上安装了一个类似的扬声器,你可以骗过另一辆车的刹车,让它误以为另一辆车就在前面,可能会打伤司机或导致打滑。小心翼翼地不透露参与测试的汽车,但它看起来很像一款后期型号的马自达。与供应商联系后,他们表示制造商考虑了其系统功能,而不是错误。

它将变得更糟

Cloudflare的信息安全主管马克•罗杰斯(Marc Rogers)在另一份报告中详细介绍了一些基本制造错误导致汽车司机易受黑客攻击的方法。

他说,从出厂到出厂的平均时间是四到六年。但是大多数使用在汽车上的Linux发行版很快就过时了,他说在汽车代码中已经发现了超过10年的漏洞。

他说,目前的汽车控制区网络已经过时,而且设计不安全。数据流量是未加密的,使用授权的数据端口可以很容易地访问这些数据端口。

钥匙是另一个弱点。一些电子钥匙的组合数量少得可怜,但更令人担忧的是使用信号放大技术。网上有大约60美元的套件,可以从钥匙中获取信号并将其复制到汽车上,解锁它们并禁用警报系统。

目前在美国销售的所有汽车也必须将轮胎压力测量系统作为标准安装,并且信号未加密。经过适当编程的Raspberry Pi可以使用该信号来跟踪汽车,但更令人担忧的是可以用来控制无钥匙进入的发动机控制单元。

他说:“汽车盗窃率多年来一直在下降。”“但在过去两年中,英国的失业率上升了20%。这种直接的因果关系很难,但看起来很可疑。”

这不仅仅是英国。在美国,过去两年汽车盗窃率上升。2015年,它们增长了3.8%,2016年增长了7.8%。

他指出,大多数制造商仍然没有认真对待安全问题,虽然他们可能会对一些子系统进行测试,但他们从来没有做过整车的相信调研。如果未来的驾驶员在道路上想要得到安全保障安全,这将是会是一个巨大的改变。

  • 发表于:
  • 原文链接:http://www.theregister.co.uk/2018/03/10/auto_manufacturers_are_asleep_at_the_wheel_when_it_comes_to_security

扫码关注云+社区

领取腾讯云代金券