视频: æ håndfonem (十一月 2024)
尽管只有一个记录在案的事件(五年前的内部工作),但汽车黑客近来已成为头条新闻。
现在,注意力已经转移到与汽车配件市场相连的汽车设备上,该设备可插入车辆的车载诊断端口II,也称为OBD-II加密狗。 这些设备已经存在了好几年,并让拥有ODB-II端口的1996年以后生产的车辆的所有者增加了连接性。 从大型汽车保险公司到十几家初创公司,这些公司提供的服务涵盖了从监控驾驶方式和燃油经济性到跟踪青少年的各种情况。
削减克尔维特的刹车
在本周举行的安全会议之前,来自加利福尼亚大学圣地亚哥分校(UCSD)的研究人员透露了他们如何能够无线入侵到插入到较晚型号的Corvette的OBD-II加密狗中。 他们将SMS消息发送到打开汽车雨刷并切断刹车的设备。 尽管研究人员指出,由于车辆的设计方式,只能在低速时才踩刹车,但他们补充说,这种攻击很容易适应几乎所有现代车辆,以接管诸如转向或变速箱之类的关键部件。
负责该项目的UCSD计算机安全教授Stefan Savage说:“我们购买了其中一些软件,并对它们进行了反向工程,并一路发现它们存在很多安全缺陷。” 他补充说,软件狗“提供了多种方式来远程控制它们所连接的车辆上的任何东西。”
加州大学圣地亚哥分校的研究人员于6月份向Metromile发出了加密狗漏洞的警报,该公司表示已向设备无线发送了安全补丁。 Metromile首席执行官Dan Preston对 Wired表示: “我们一发现就非常认真地对待这一问题。”
尽管如此,即使Metromile发送了安全补丁后,仍可以看到数千个加密狗,并且仍然可以对其进行黑客攻击,这在很大程度上是由于西班牙车队管理公司Coordina使用了它们。 在母公司TomTom Telematics的一份声明中,Coordina说,它调查了研究人员的攻击,发现它仅适用于公司使用的较早版本的加密狗。 现在正在替换那些“有限数量”的设备。
该公司还指出,分配给其设备中SIM卡的电话号码不是公开的,因此无法通过短信进行联系,例如UCSD研究人员的攻击。 但是研究人员反驳说,即使不知道SIM卡的电话号码,软件狗也可以通过发送大量短信来遭受暴力攻击。
尽管最近对生产汽车的黑客攻击已经花费了几个月的时间才能远程执行或需要物理访问车辆,但与云连接的OBD-II加密狗的安全漏洞已为人所知已有几个月,而且似乎更容易被黑客攻击。 问题不仅仅限于移动设备产品。 一月份,安全研究员Corey Thuen能够入侵Progressive的Snapshot设备,而网络安全公司Argus的研究人员发现Zubie OBD-II设备的安全漏洞。
研究人员指出,潜在的黑客攻击不仅限于测试中使用的Corvette,而且可以想象,只要将移动设备加密狗插入仪表盘中,它们就可以劫持几乎所有现代车辆的转向或刹车。 UCSD研究人员Karl Koscher说:“不仅仅是这辆车容易受到伤害。”
与汽车制造商生产的联网汽车一样,还没有记录到带有OBD-II加密狗的车辆的恶意入侵。 但是研究人员认为威胁是真实存在的,并指出,与量产车中的连接不同,政府对售后市场的设备没有监督。
萨维奇补充说:“我们已经在市场上出售了很多此类产品。” “鉴于我们已经看到了完整的远程利用,并且这些东西没有以任何方式进行监管,并且它们的使用正在增长……我认为这是对其他地方将存在问题的公正评估。”
Koscher警告说:“请三思而后行。” “普通消费者很难知道他们的设备是否值得信赖,但这是他们应该考虑的事情。这会使我面临更大的风险吗?”
这是互联消费者多年来一直在问的一个问题,想要通过OBD-II加密狗将汽车连接到云的驾驶员现在也必须问这个问题。
