安全警示
你的汽车可能正面对着黑客的威胁
# 小小木子 投递译稿
在多年的刻意淡化之后,汽车制造商不得不承认他们的产品正承受着严重的网络安全危机。
[-]
在过去的几年时间里,大部分人对所谓的“汽车黑客”表示漠不关心,认为在正常的行使状态下,黑客不可能通过无线的方式劫持和操作司机的汽车。即便可以远程控制汽车车门的开关或者通过车载电脑控制刹车,也需要事先在汽车上动手脚。最近菲亚特克莱斯勒公司陷入窘境,公司面临着高额的罚款和140万辆安全缺陷汽车的召回。这一情况表示无论是联邦政府或者是汽车制造商都不能再认为汽车黑客是无稽之谈。
菲亚特克莱斯勒公司这几年早就因为没有完成美国交通部下达的召回110万辆缺陷汽车的任务而陷入水深火热之中。上周,连线杂志的一篇详细介绍了网络安全专家通过黑入Uconnect(克莱斯勒的车载信息系统)系统以控制吉普切诺基的无线系统的文章而使得事情发酵。研究人员以此为突破口获得了进入其他系统的权限,切断了车辆传动设备,然后关闭了刹车系统,最终汽车在高速公路旁的沟渠里停了下来。
[-]
来自推特的安全工程师查理和 IOActive公司的安全情报总监克里斯表示,我们这次和之前实验的最大不同是,此次实验允许进行远程攻击。早在2013年,两人就在一次网络安全会议上介绍了他们通过苹果笔记本控制了丰田普锐斯和福特翼虎的电子系统(ECUs),这两款汽车都在2010年定型。
ECUs控制着很多重要的实时系统比如转向系统,安全气囊系统和刹车系统等。同时还有一些相比之下不太重要的如汽车点火系统,照明系统和信息娱乐系统。这些电子系统通过被称为控制局域网的内部通讯系统相互连接。研究人员通过汽车数据端口黑入汽车然后欺骗车载电脑系统使得汽车可以在较高速度下突然刹车或者开入车流。
[-]
这些例子还无法使得制造商认为汽车的网络安全会在将来某一时刻给他们带来麻烦。汽车制造商认为黑客必须通过物理访问才能控制汽车,然而我们向他们证明了我们其实只通过远程访问便可以做到。
米勒称,他们的研究人员将会在10月份向菲亚特克莱斯勒公司陈述这些安全问题,并且已经通知公司他们将在下个月的黑帽安全大会(黑帽安全技术大会是世界上最好的能够了解未来安全趋势的信息峰会)上进行展示。这也是为什么这些事情会在最近发酵的原因。
此前,几家媒体报道称,克莱斯勒公司上周向联邦监管机构提交的文件中显示早在2014年1月公司就已经知道他们的汽车面临的潜在的安全威胁。
[-]
上周晚些时候,克莱斯勒公司宣布召回140万辆可能被黑客入侵的装有Uconnect系统的汽车。国家公路交通安全管理局宣布克莱斯勒公司必须遵守严格的联邦监督条例,赎回有问题车辆,并且处以1.05亿美元的民事罚款。这也是国家公路交通安全管理局成立以来开出的最高罚单。
菲亚特公司的汽车召回事件可能仅仅只是严峻的汽车网络安全问题的开始。上周,参议员爱德华和理查德提出了一项以国家公路交通安全管理局和联邦贸易委员会来建立旨在应对汽车网络安全和保护司机隐私的提案。法案认为对汽车安全度和隐私度建立评价机制将有利于购买者了解汽车如何更好的保护他们的安全和隐私。
本文译自 scientificamerican,由 投稿 编辑发布。