據(jù)外媒報(bào)道���,Daan Keuper與Thijs Alkemade兩位研究人員在發(fā)表的新網(wǎng)絡(luò)安全論文中提到CAN總線(xiàn)(CAN Bus)被黑客攻破的原因。值得一提的是�,他們發(fā)現(xiàn)大眾及奧迪車(chē)型存在安全漏洞,車(chē)載信息娛樂(lè)系統(tǒng)與車(chē)載網(wǎng)絡(luò)易遭黑客攻破��。
兩位研究人員在報(bào)告中寫(xiě)道:“我們可遠(yuǎn)程侵入車(chē)載信息系統(tǒng)��,并借助該系統(tǒng)向CAN總線(xiàn)發(fā)送任意的信息�����。”
Computest認(rèn)為��,這屬于軟件漏洞���,或許在升級(jí)固件后,就能在一定程度上緩解(mitigated)該問(wèn)題��。然而����,該操作卻無(wú)法通過(guò)遠(yuǎn)程升級(jí)來(lái)完成,務(wù)必要交由一家業(yè)內(nèi)領(lǐng)先的官方經(jīng)銷(xiāo)商來(lái)完成具體的升級(jí)操作���。對(duì)于整個(gè)車(chē)隊(duì)而言����,若想要在經(jīng)銷(xiāo)商處一次性完成固件升級(jí)�,似乎有點(diǎn)難度。
該報(bào)告指出����,若黑客獲得CAN總線(xiàn)的訪(fǎng)問(wèn)權(quán)限,他(她)將能夠借此控制該車(chē)輛��,或許還能冒充前置雷達(dá),謊稱(chēng)附近存在碰撞事故���,向制動(dòng)系統(tǒng)發(fā)出指令�����,要求執(zhí)行緊急停車(chē)操作或接管制動(dòng)系統(tǒng)��。若某個(gè)部件與CAN總線(xiàn)實(shí)現(xiàn)了網(wǎng)絡(luò)連通���,黑客只需要想辦法獲得訪(fǎng)問(wèn)該部件的權(quán)限,就能侵入車(chē)輛��,且無(wú)需實(shí)際進(jìn)出車(chē)輛(physical access)�。
對(duì)黑客們而言,供其選擇的遠(yuǎn)程攻擊界面(remote attack surface)實(shí)在太多了�。有些攻擊方式確實(shí)需要黑客們非常接近該車(chē)輛(如破解免鑰系統(tǒng)),有些攻擊方式則可實(shí)現(xiàn)遠(yuǎn)程入侵�����,黑客們可在全球任意位置發(fā)起入侵攻擊�。部分攻擊需要用戶(hù)交互(user interaction),而有些攻擊則針對(duì)任意用戶(hù)�,許多乘客甚至都不清楚發(fā)生了什么�。
研究人員著眼于互聯(lián)汽車(chē)及車(chē)載蜂窩網(wǎng)絡(luò)或無(wú)線(xiàn)網(wǎng)絡(luò)連接�����,他們還發(fā)現(xiàn)蜂窩式網(wǎng)絡(luò)連接與車(chē)載控制器局域網(wǎng)路間的層級(jí)最少�。
據(jù)大眾透露:“公司自2016年第22個(gè)生產(chǎn)周(production week 22)以來(lái),對(duì)旗下大眾Golf GTE與奧迪A3的車(chē)載信息娛樂(lè)系統(tǒng)進(jìn)行了軟件升級(jí)��,已經(jīng)封閉了兩款車(chē)型的開(kāi)放式接口(open interface)���。”
如今��,大眾Golf正在運(yùn)行MIB2軟件��,而大眾Golf GTE則在運(yùn)行由哈曼制造的MIB軟件�。
據(jù)Karamba Security公司的聯(lián)合創(chuàng)始人兼首席科研人員Assaf Harel透露:“在該示例中,研究人員可對(duì)車(chē)載信息娛樂(lè)系統(tǒng)發(fā)起內(nèi)存溢出攻擊(in-memory overflow attack)����,旨在探索遠(yuǎn)程代碼執(zhí)行漏洞(remote-code-execution vulnerability)。在當(dāng)今的車(chē)車(chē)在系統(tǒng)中�����,這類(lèi)安全漏洞實(shí)在太多了,黑客們?cè)缤頃?huì)查找到這類(lèi)安全漏洞的���?����!?/p>
他還說(shuō)道:“針對(duì)這類(lèi)攻擊方式���,唯一的防范措施就是恢復(fù)出廠(chǎng)設(shè)置,從而封閉電控單元(ECU)�����。由于還存在太多未知的安全漏洞���,ECU強(qiáng)化層(hardening layer)會(huì)將任何與出廠(chǎng)設(shè)置不符的未授權(quán)偏差(unauthorized deviation)視為惡意軟件(malware)��,旨在防范已知與未知的黑客攻擊�,即零日漏洞(zero-day vulnerabilities)�。”
來(lái)源:蓋世汽車(chē)
本文地址:http://ewshbmdt.cn/news/qiye/67952
返回第一電動(dòng)網(wǎng)首頁(yè) >
以上內(nèi)容轉(zhuǎn)載自蓋世汽車(chē)����,目的在于傳播更多信息����,如有侵僅請(qǐng)聯(lián)系admin#d1ev.com(#替換成@)刪除��,轉(zhuǎn)載內(nèi)容并不代表第一電動(dòng)網(wǎng)(ewshbmdt.cn)立場(chǎng)��。
文中圖片源自互聯(lián)網(wǎng)����,如有侵權(quán)請(qǐng)聯(lián)系admin#d1ev.com(#替換成@)刪除。
京公網(wǎng)安備
11010502033163號(hào)
