7月8日,车云发布了一篇文章,作者于宁在现场目睹了360破解团队“劫持”一辆新车的全过程。
“钥匙和合法遥控手机都不用,OBD接口空着,我只需要一台笔记本,来实现寻车、解锁、着车。”并且“你只要跟我用过同一个WiFi,或者点击过我发的微信钓鱼链接,我就能开走你的车,咱俩不必认识,完全可以素昧平生。最关键的是,哪怕我开走了,这车所处的云平台也不会对你发出任何警告信息。”
随后记者在现场目睹了在该团队仅用一台Macbook完成寻车、开门、开启后备箱等功能,甚至在车门完全封锁的情况下启动了发动机。如果仅仅是财产损失还是小事,最可怕的是,在实验驾车的过程中,车外的一位工程师直接通过云端指令操作了车辆,也就是说云端下发的指令可以越权于车内操作。……如果车辆正行驶在高速公路上,那后果不堪设想。
9日上午,一篇文章转发了车云的这篇文章,并使用标题《现场目击比亚迪新车被破解,任由黑客摆布》,直指这辆被破解的车是比亚迪。不得不佩服比亚迪的受关注度,截止目前该文章的点击量远远超过了首发文章,并引发很大反响。
下午3点多,比亚迪搜狐自媒体平台发布声明,称用户在正常环境使用不会出现问题,并表示会进行服务器系统的升级,请用户放心使用。
其实早在6月,360公司的安全团队补天平台就公布,比亚迪多款汽车搭载的云服务存在安全漏洞,称比亚迪的云服务在传输加密和访问控制方面存在安全隐患,可以实现未经车主授权劫持控制会话、控制车辆、开车门、鸣笛、启动车辆等功能。
对此,比亚迪回应称,该描述有不实之处,此操作需要通过手机端木马或其他工具捕获用户手机上云服务通讯密文数据包后才能实现,相当于在用户的手机上把用户的密码盗取了。比亚迪认为,只要云服务用户确保手机不使用非法或木马应用,保证自己的信息不被恶意盗取,将不会受到影响。
而在此前汽车被黑客破解已经有不少案例,特斯拉、奔驰、奥迪等车都曾遭到破解。2013年,两位美国黑客展示了他们如何攻击丰田普锐斯和福特翼虎的控制系统,从而实现包括高速行驶时突然制动、使车辆刹车失灵、猛打方向盘在内的一系列操作。让人惊出一身冷汗。
汽车智能化让我们的生活更加便利的同时,是否也给我们带来了危险呢?
如今的汽车构造就像电脑一样——它被安装了类似中枢神经一样的“中央单元处理器”,作为数据中转站,经由它流过的数据可以是控制打开车窗、雨刷这样的基础功能、支持娱乐功能的车载屏幕,或者控制速度、刹车的动力系统。当汽车的一个单元被唤醒后,这些数据就会向中央处理器汇聚,再被分配到不同的单元工作,信息被不同程度的加密,其中动力总成的单元的排线和单元的构成是相对独立的,协议也是被多重加密,除非是直接在这套系统上重新更改协议,否则入侵极其困难。但困难并不意味着“不可能”,汽车的单元都面临一个挑战:他们的线路并非独立,是彼此连接打通的;它并非不可破解,只是比入侵一台电脑更难罢了。
在车云的文章最后,360破解团队的工程师对车辆联网安全给出了两点建议:
其一,从基础设计上下功夫。采用物理隔离,或者像Tesla一样升级车身总线,从车辆底层抛弃无鉴权、无校验的30年高龄之CAN总线;如此这般,破解难度会成倍提高,甚至不得不物理侵入车辆。
其二,传统的遥控钥匙破解需要射频设备,且只针对一台车;而升级到云服务,攻击工具只需要一台电脑,目标可以是同平台的所有上路车辆(全国/全球)。所谓“术业有专攻”,整车厂造车水准一流,但对IT行业的安全攻防则毫无积累——要做对事,应当先找对人。
部分素材来源:车云网
- 关于我们 -
SocialAuto汽车行业自媒体联盟成员
持续关注汽车行业重大事件幕后新闻
汽车营销新趋势
汽车媒体发展等内容
- 找到我们 -
订阅号:AM汽车经理人
微信号:automanager
)
