黑基网 首页 资讯 知识汇 查看内容

汽车被控制已成现实 黑客利用博世电子狗漏洞可控制汽车引擎

2017-4-18 13:28| 投稿: caiflyer |来自: 互联网

摘要: E安全4月17日讯 过去几年,汽车联网技术市场获得长足发展,这种技术还会继续不断发展。然而,汽车联网用户也面临潜在威胁,因为黑客可以利用其中的漏洞远程关闭目标车辆引擎。据外媒报道,以色列网络安全公司Argus在 ...

E安全4月17日讯 过去几年,汽车联网技术市场获得长足发展,这种技术还会继续不断发展。然而,汽车联网用户也面临潜在威胁,因为黑客可以利用其中的漏洞远程关闭目标车辆引擎。

据外媒报道,以色列网络安全公司Argus在检验过程当中发现了博世的Drivelog Connector电子狗和与之相适配的App之间存在漏洞,并于上周四演示了如何通过蓝牙连接轻易入侵使用博世Drivelog Connector OBD-II电子狗(Dongle)的汽车。这个安全漏洞出现在Drivelog Connect 1.1.1及其更低的版本,以及Dongle固件4.8.0至4.9.2。

何为电子狗

电子狗又称驾驶安全预警仪,是一种车载装置,由硬件系统和软件系统所组成,包括雷达、GPS定位、中央处理器和智能测速预警系统。主要是利用GPS卫星定位及雷达信号检索,提前提醒车主电子眼或测速雷达等测速设备的存在,防止因为超速等违规而被罚款和扣分。它分为普通电子狗、智能电子狗、云电子狗等。在某些国家,这款设备由保险公司,或由希望推出车内Wi-Fi的汽车制造商安装。

两大漏洞影响汽车安全

在研究中,Argus公司使用了一款通过蓝牙连接车辆的设备Drivelog Connector,帮助检查车辆健康状况、追踪里程等。并通过演示“闯过安全系统的服务ID限制”,证明了在这之后黑客能执行哪些操作。

研究人员发现两个漏洞

  • Drivelog Connector 电子狗和Drivelog Connect智能手机应用程序之间的认证过程存在信息泄露漏洞

  • Drivelog Connector电子狗中的消息过滤器存在安全漏洞

信息泄露漏洞允许研究人员快速暴力破解PIN码,并通过蓝牙功能连接到电子狗。一旦连接到电子狗,消息过滤器中的安全漏洞就允许他们在车辆CAN总线中注入恶意代码。之后他们便能够在蓝牙范围内关闭移动车辆的引擎。由于研究人员可以使用这款电子狗将恶意代码注入到CAN总线,那么进一步控制网络中的其它ECU(电子控制单元)也是有可能实现的。如果攻击者大肆利用这种攻击方法,可能会对大多数车辆进行物理控制。

虽然Argus未披露存在漏洞的汽车型号,但该公司透露,任何蓝牙启用Drivelog Connector电子狗和Wi-Fi连接的车辆都易于遭受攻击。

新型安全系统成熟度欠缺

Argus研究团队负责人阿米·沙莱夫称,汽车中的现有新型安全系统、但不成熟。汽车安全措施中的新型防火墙成熟度欠缺。

虽然入侵实验在受控环境下进行,但Argus研究人员认为,同样的攻击可能对任何汽车都奏效。

Drivelog制造商罗伯特-博世表示,已经采取临时措施应对该安全威胁,他们目前正在研究永久的解决方案。博世团队负责人索斯滕-库尔斯表示,修复加密协议潜在漏洞的补丁很快将会发布,此补丁将防止Argus所描述的这类攻击。

据悉,特斯拉、通用和FCA都推出了“漏洞奖励”项目,向发现或报告其汽车或网站存在漏洞的黑客给予奖励。而在2015年,多家车企与供应商组建了一个汽车信息共享和分析中心,以期共同应对汽车网络安全问题。

相关阅读:

速度与激情8:保卫世界和平与网络安全面临的威胁

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱[email protected]

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.toutiao.com/i6409947239975748097/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部