黑客發給汽車公司的警告

編譯/ 張 鷗

編輯/ 吳 靜設計/ 琚 佳

來源/Ars Technica,作者:Jonathan M. Gitlin,題圖:Aurich Lawson/Getty Images

如果你在最近幾年裡購買了一輛新車,那麼它大概率至少包含一個嵌入式調制解調器,用來提供連接服務。這能夠帶來不少好處,如在寒冷的早晨進行車內預熱,在故障發生前發出警告診斷,以及青少年司機監控等安全功能。

在一些地區,聯網汽車甚至是強制性的,如歐盟的eCall系統。eCall是一項歐洲倡議,旨在爲歐盟任何地方發生碰撞的駕車者提供快速援助。2018年4月起,歐盟境內銷售的所有新車強制配備eCall。

而另一方面,這些系統所引發的汽車黑客事件已經出現至少十多年了,直到2015年引起巨大反響的吉普車黑客事件,這個問題才終於得到重視。

當時,一對黑客通過這款SUV信息娛樂系統中的一個漏洞,在駕駛過程中遠程禁用車輛。從那時起,一些汽車的Wi-Fi網絡、NFC鑰匙和藍牙以及第三方遠程信息處理系統都被檢查出了安全漏洞。

安全研究員查理·米勒(Charlie Miller)試圖從溝渠中拉回一輛吉普切諾基,因爲它的剎車在受控測試中被遠程禁用。▼

2022年底,一位名叫薩姆·庫裡(Sam Curry)的黑客測試了各個汽車製造商和遠程信息處理系統的安全性,果不其然發現了安全漏洞,或者以他自己的標準來說,所見之處都是漏洞。

2022年秋天,庫裡在訪問馬里蘭大學時決定探索汽車行業數字內容潛在風險,因爲他在玩一個電動滑板車的應用程序時發現,他可以打開整個車隊的喇叭和大燈。在向滑板車公司報告了這一漏洞後,庫裡和他的夥伴們將注意力轉向了更大的車輛。

漏洞百出

庫裡說:“我們意識到,在過去五年裡製造的每一輛汽車都有幾乎相同的功能。如果攻擊者能夠找到車輛遠程信息處理系統使用的API端點的漏洞,他們就可以做到遠程按喇叭、閃燈、遠程跟蹤、鎖定/解鎖和啓動/停止車輛。”

他們發現16家汽車製造商、LoJack等聯網汽車系統、新的數字車牌、甚至美國廣播公司Sirius XM電臺都存在廣泛的問題。

除了車輛識別碼之外,黑客還能夠訪問謳歌、本田、英菲尼迪、起亞和日產汽車的遠程服務,包括定位和解鎖汽車,啓動或停止發動機,或鳴笛。也有可能通過一個VIN碼接管一個用戶的賬戶。在起亞的案例中,研究人員甚至可以訪問車輛上的實時停車攝像頭。

Genesis和現代汽車同樣如此,儘管是通過車主的電子郵件地址而不是VIN。保時捷的車輛也容易受到遠程信息處理漏洞的影響,庫裡能夠定位車輛併發送命令。

庫裡研究報告中的代碼截圖▼

“提供LoJack等服務的遠程信息處理公司Spireon有多個安全漏洞,使黑客能夠獲得對全公司管理面板的全部管理員權限,並能夠向大約1550萬輛汽車發送任意命令(解鎖、啓動發動機、禁用啓動器等),讀取任何設備位置,並閃現/更新設備固件。”庫裡說。

有一次,庫裡和他的同事進入了一個隨機的車隊賬戶,緊接着收到了一個美國警察局的管理邀請,在那裡可以跟蹤整個警察車隊。

2022年10月,加州批准了數字車牌。庫裡發現,他依舊可以獲得超級管理員權限並管理所有用戶賬戶和設備,包括跟蹤汽車和改變e-ink車牌上顯示的信息。

梅賽德斯-奔馳、寶馬和勞斯萊斯都是通過單一登錄漏洞被入侵的,這些漏洞允許訪問企業網絡和員工或客戶的個人身份信息。福特的遠程信息處理API容易受到黑客攻擊,也暴露了客戶的信息。黑客甚至能夠找到法拉利、捷豹路虎和豐田金融客戶的信息。

此外,泄露的亞馬遜網絡服務密鑰使黑客能夠進入衛星廣播供應商Sirius XM,檢索所有文件,包括用戶數據庫、源代碼和配置文件。

與智能手機App兼容的e-ink電子車牌▼

(來源: Riviver )

補救中的汽車公司

令人鼓舞的消息是,黑客的發現使受影響的公司修復了他們的缺陷。

謳歌和本田的發言人說:“本田已經知悉SiriusXM聯網汽車服務的報告漏洞,根據SiriusXM的說法,他們很快就解決了。本田沒有看到任何跡象表明,有人惡意利用這個現已解決的漏洞來訪問本田或謳歌車輛的聯網車輛服務。”

寶馬集團發言人稱:“寶馬正在持續監測系統狀況,以發現可能的漏洞或安全威脅。此外,我們也在定期與外部安全專家密切合作。至於庫裡文章中提到的漏洞,已經根據我們的安全標準操作程序(例如,Bug Bounty Program)進行了處理。所處理的漏洞問題在24小時內被關閉,沒有數據泄露。因此,客戶、員工或與車輛相關的IT系統沒有受到影響,也沒有受到損害。”

關於福特遠程信息處理系統的漏洞,該公司同樣表示進行了修復。

現代汽車和Genesis的發言人說:“現代汽車與第三方顧問勤奮工作,在研究人員(庫裡)提醒我們注意這個所謂的漏洞後立即進行了調查。重要的是,除了屬於研究人員自己的現代汽車和賬戶外,我們的調查表明,無論是現代汽車還是Genesis的客戶車輛或賬戶,都沒有因爲這個問題而被他人非法訪問。”

“我們還注意到,想要利用這個所謂的漏洞,需要獲取與特定的現代/Genesis賬戶和車輛相關的電子郵件地址以及庫裡使用的特定網絡腳本。”該發言人繼續說,“儘管如此,我們在接到通知後的幾天內就採取了應對措施,以進一步加強我們系統的安全和保障。另外,現代汽車和Genesis均未受到Sirius XM授權缺陷的影響。”

梅賽德斯-奔馳則表示庫裡所報告的漏洞已經修復,所發現的漏洞並沒有影響車輛的安全。

e-ink電子車牌服務商Reviver公司的一位發言人說:“我們的團隊對這一報告進行了調查,與該研究人員進行了會談,並出於謹慎考慮,聘請了領先的數據安全和隱私專家進行協助。”

“他們在24小時內爲應用程序打了補丁,並採取了進一步的措施,以防止將來發生這種情況。”Reviver發言人繼續說道,“我們的調查證實,這個潛在的漏洞沒有被濫用。客戶信息沒有受到影響,也沒有證據表明與這份報告有關的持續風險。作爲我們對數據安全和隱私承諾的一部分,我們還利用這個機會實施了額外的保障措施。”

庫裡發表在自己網站的文章名爲《網絡黑客與汽車行業:法拉利、寶馬、勞斯萊斯、保時捷等的關鍵漏洞》▼

(來源: samcurry.net )

白宮希望國家標準與技術研究所和聯邦貿易委員會提出一套基本的安全標準,以便美國人可以一眼看出新的揚聲器或洗衣機是否有加入殭屍網絡或被勒索軟件攻擊的危險。

2022年10月,黑莓公司就此進行了一次網絡調查,幾乎四分之三的人都認爲,聯網汽車和電動車充電器應該根據其抵禦網絡安全威脅的能力進行評級。

現在看來,這個評級或許真的十分有必要。

本文由汽車商業評論原創出品

轉載或內容合作請聯繫說明

違規轉載必究