当前,全球汽车产业向着联网化、智能化、绿色化、共享化、无人(驾驶)化等方向全速迈进,智能网联汽车融合汽车制造、IT / 通信、出行服务等诸多产业,经济价值巨大,产业生态丰富,带动效应明显,是全球各国科技与经济竞争的主战场。但是,智能网联汽车的安全问题亦不容小觑,如果不重视这个问题的话,智能网联汽车这一新生事物,可能会遭受毁灭性的打击。
在人们的日常生活中,网络安全威胁越来越多,其中有一个安全威胁关系重大,引起人们越来越多的关注。那就是“汽车攻击”。汽车网络安全(Automotive cybersecurity)是一个术语,指的是用于保护汽车电子系统以及软件、数据等工具和技术。
本文将介绍关于汽车黑客行为需要知道的关键知识,它有多大风险,以及我们可以采取哪一种防御措施。
什么是汽车黑客?
汽车黑客这个概念,2015 年首次提出并普及开来,为人所知。为了向公众展示车辆安全漏洞,Chris Valasek 和 Charlie Miller 远程入侵了一辆吉普车。 在这次入侵中,Valasek 和 Miller 能够访问汽车的电子控制单元,改变仪表板的功能,甚至控制制动器和发动机。
一辆现代汽车可以有多达 100 个电子控制单元,因此有很多不同的接入点。
因此,克莱斯勒集团(Chrysler)宣布全面召回汽车。但即便如此,一般而言,汽车制造商可能没有给予汽车黑客应有的关注,尤其是我们正处在物联网时代。
当克莱斯勒集团看到黑客入侵吉普车的演示结果时,他们向 140 万车主发送了带有安全补丁的 U 盘。
为了能够获悉可能存在的漏洞,他们还设立了一项名为“漏洞悬赏”的项目,奖励白帽黑客 1500 美元。特斯拉(Tesla)也有一个类似的项目,并且他们为了漏洞而付给黑客高达 10000 美元的奖励。
黑客怎样入侵智能网联汽车?
黑客入侵汽车有多种方式,包括:
1.绕过汽车钥匙
黑客可以通过让汽车认为钥匙就在附近,从而做到不使用汽车钥匙即可访问车辆。这样,黑客就可以在没有钥匙的情况下,解锁汽车并摁下启动按钮。
为了避免这种风险,专业人士建议将汽车的遥控钥匙放在专门设计的无线电屏蔽汽车钥匙袋。防止这种情况的另一种方法是在车上安装一个方向盘锁的装置。
注:InfoQ在一篇文章《特斯拉 30 秒被盗 车钥匙背后的安全设计缺陷》中报道类似问题: 一辆价值 9 万美金的白色特斯拉 Model S,上锁后被两个小偷在短短 30 秒内盗走。 在盗窃过程中,小偷使用中继攻击,成功实现盗窃。
2.破解热点
黑客可以访问车辆的娱乐系统,及时更新你的软件系统有助于防止出现这种情况。如果汽车有热点,就像大多数娱乐系统一样,黑客只需一个 IP 地址就可以访问它并控制汽车的计算机系统。
除更新软件之外,你可能还想选择搭载 Apple CarPlay 或 Android Auto 系统的汽车,因为与汽车娱乐系统相比,它们往往具有更好的安全性。
3.第三方应用漏洞
如果你使用第三方应用,而它与你的汽车相连接,那么黑客可以从这点入侵你的汽车系统。为防止出现这种情况,请只使用双因素身份验证安全性的应用程序。下载应用程序时也要小心,因为有时候,应用程序也可能是网络钓鱼攻击的来源。
从1996 年以后,在美国生产的汽车上都有一种叫做车载诊断系统的东西。它可以监控不同的数据,并用来判断汽车在出故障之前发生了什么情况。
有一种被称为加密狗的设备,必须插入 OBD 端口,才能将车主驾驶习惯的信息发送到移动设备。
当加密狗插上之后,黑客就可以通过 Wi-Fi 或蓝牙连接到加密狗,然后入侵汽车的其他系统。你可以通过使用 OBD 锁来保护自己免受这种威胁,这种锁很便宜,也容易使用。
USB 端口可能会感染病毒或恶意软件,所以如果你将 U 盘之类的东西插入到你的汽车,可能会出现问题。为杜绝这种威胁,请不要将任何来源未知的 U 盘插入你的汽车。
如何防止智能网联汽车被入侵
为了防范这种网络安全威胁,需要牢记的其他事项包括如下:
- 不使用时,请关闭 Wi-Fi 或蓝牙。
- 在将 U 盘插入汽车之前,先用病毒查杀软件扫描一下。
- 向你的汽车制造商提供你的联系信息,这样,如果有安全问题或更新时,他们就可以与你联系。你还可以访问美国国家公路交通安全管理局(National Highway Traffic Safety Administration,NHTSA)的召回网页,输入你的车辆识别号,查询你的车辆是否在召回范围中。
如果怀疑你的车有问题,你应该联系当地联邦调查局办公室。汽车黑客攻击的严重程度和可能性是否还会增加,但如果它沿着许多其他网络安全风险的道路发展,那么随着时间推移,它可能会演变成更加棘手的安全问题。
最近,丰田汽车(Toyota)开发了一款名为 “PASTA” 的新型汽车黑客工具 ,用于测试汽车的安全漏洞。
作者介绍:
Priya James,是一名网络安全爱好者,同时也是经过认证的道德黑客。她还是安全博客写手、技术编辑、GBHackers On Cyber Security 的专栏作者。
原文链接: