• 大便很“血腥”?这可不一定是痔疮造成的 2019-11-10
  • 重磅岀炉!CDR交易细则来了,没有资产限制,总体与A股一致,首单小米19日上会 2019-11-10
  • (两会受权发布)最高人民检察院检察长简历 2019-11-08
  • 太原网友:建议公交调整河西线路 2019-11-08
  • 近九成券商股逆市上涨 防御+反弹攻守兼备 2019-11-03
  • 青春逐梦向阳之路 平台引擎加速成长 2019-11-02
  • 端午小长假 游人“醉”西湖 2019-11-02
  • 谢谢这位家长,不然这位雨中护送高考生的交警还没有人知道呢 2019-11-01
  • 《汶川十年·我们的故事》一:寻找向日葵 2019-10-25
  • 人民网评:青年有梦想有责任,国家有希望 2019-10-25
  • 西安位居最受欢迎十大旅游城市第四 2019-10-23
  • 人民观影团:《恐袭波士顿》用爱来驱散暴恐阴霾 2019-10-23
  • 挑剔出了名的莱佛士新酒店选址波兰 只为了致敬艺术复兴? 2019-10-12
  • 流溪河森林公园美不胜收 2019-10-09
  • 海鲜排档公然销售违禁海鲜 执法部门责令整改 2019-10-05
  • Hi,Are you ready?

    准备好开始了吗?
    那就与我们取得联系吧

    有一个互联网项目想和我们谈谈吗?您可以填写右边的表格,让我们了解您的项目需求,这是一个良好的开始,我们将会尽快与你取得联系。让慧眼独具的您!享受我们专业的互联网产品和服务!

    BOXSIN NETWORK 博信网络设计整合

    业务热线:0771-2860265 / 5783282(固话)
    400-8842-880(全国热线)

    不打烊专线:13481069551 (卢经理)

    E-mail:[email protected]

    合作意向表

    您需要的服务

    现有网站改版
    我需要做微信营销
    建设全新的企业网站
    要找长期合作公司,需要年度服务
    我需要做购物商城
    我需要做系统平台
    我需要做小程序

    您最关注的地方

    对功能要求比较高
    对设计创意要求比较高
    需要可以购物支付
    搜索引擎排名

    预算

    2万内 2-5万 5-10万 10万以上 大型项目需要招标
    • 看不清楚,换个图片

    业务QQ 0771/2860265 提交需求 博信网络微信公众号

    博信网络微信公众号

    加微信报价格

    加微信报价格

    19500彩票网网站 www.pngls.tw 输入您的电话,了解详情

  • 留言
  • 我们只做三件事:设计,建站,开发

    2015
    07.23

    点击

    看黑客如何远程入侵并控制汽车

    来源: 网易科技   责任编辑:boxsin   字体大?。?    

    随着科技的发展,汽车上的各种车载系统变得越来越复杂,同时也存在诸多漏洞。汽车制造商通常对此三缄其口,但是人们对配备各种电子系统的汽车的安全性越来越心存疑虑。近日,知名科技媒体《连线》在网站上刊出一篇文章,对车载系统漏洞可能导致的潜在安全问题进行了详细评述。我们在下文中提供了部分主要内容,以飨读者:

    我在位于圣刘易斯下城区的边界,以70码的时速驾驶着切诺基,突然间,汽车失去控制。

    黑客远程入侵并控制汽车近在咫尺的威胁

    在没有触碰仪表盘的情况下,切诺基的制冷系统以最大档功率开始送风,通过座椅背部的循环系统,让我的背部感到一阵寒意。接下来,收音机切换到了本地嘻哈频道,音量自己调至最大,喇叭里发出刺耳的音乐。我将控制旋钮转向最左侧,同时不停的按动电源开关,一切都没有反应。这时候,雨刮也开始凑热闹,不断喷出清洁剂,让挡风玻璃变得一片模糊。

    黑客远程入侵并控制汽车近在咫尺的威胁

    这一切不是好莱坞惊悚片中的情节,而是由两名黑客——查理·米勒(Charlie Miller)以及克里斯·瓦拉塞克(Chris Valasek)——一手导演的结果。两人在去年进行了汽车入侵方面的研究,上述结果尚在预料之中。这些漏洞被安全领域称之为“零日漏洞”,袭击者可以通过无线连接入侵上述切诺基车型。他们的代码正是汽车制造商的噩梦:通过软件,黑客通过切诺基的车载娱乐系统发送指令,启动仪表盘上的各种功能,包括转向、刹车以及换挡,所有这些都可以通过一台笔记本轻松实施,而发起袭击的人可以身处任何地点,只需连接至网络即可。

    为了更好的让我体验到车辆在驾驶中被入侵的感受,米勒和瓦拉塞克拒绝透露他们会具体实施哪些步骤,他们只是做好准备,在我驾驶的车辆以西10英里的家中,通过米勒的笔记本发起入侵。然后,他们告诉我驾驶切诺基驶入高速公路?!凹亲?,安迪,”米勒透过我放在仪表盘上方的iPhone的扬声器说道?!拔蘼鄯⑸裁词虑?,不要惊慌!”

    在这两名黑客远程控制切诺基的空调系统、收音机以及挡风玻璃雨刮时,我为自己在压力之下的勇气感到由衷的敬佩,要知道,他们已经切断了车辆的变速器。

    我的油门立刻停止工作。我一脚将油门轰到底,发动机转速持续攀升,但切诺基仍然持续减速,最后几乎接近怠速状态。这一切都在我驶入立交桥的时候发生,没有路肩可以供我缓口气。这场实验不再充满乐趣。

    现在,前方出现缓坡,切诺基的行进速度更加缓慢,几乎让我担心“溜坡”的发生。车道后方的汽车不断鸣笛,时而有车辆超车而过。我从后视镜看到一辆18轮大货车缓慢逼近,我希望司机可以看到我的存在并且理解我的处境。

    “你完了!”瓦拉塞克在扬声器中咆哮着,但我无力做出任何回应,驾驶室中回响着知名饶舌歌手坎耶·维斯特(Kanye West)兴奋地嘶吼声。一辆半挂车又出现在了我的后视镜中,正在朝我的切诺基碾压过来。

    我谨遵米勒的教诲:不要惊慌。我照做了。然而,我最终决定放下伪装的勇气,用满是汗液的手一把抓起iPhone,祈求黑客们立刻停下来。

    无线劫车

    黑客远程入侵并控制汽车近在咫尺的威胁

    米勒和瓦拉塞克已经不是第一次如此操纵汽车让我置身险情了。早在2013年夏季,我驾驶福特Escape和丰田普锐斯在印第安纳州的南本德泊车,他们两人坐在后座,拿着笔记本,一边谈笑风生,一边让我的刹车失灵,同时还不断鸣笛、收紧安全带以及控制转向?!暗蹦愣猿盗镜牟倏匚弈芪η沂バ判牡氖焙?,”米勒当时观察到,“你就会彻底改变自己的看法,重新审视这些东西?!钡笔?,他们的入侵手法存在局限性——必须将PC经由硬连线直接连接至车辆的板上故障诊断端口。通常情况下,只有维修工程师才需要访问这些端口来获得车辆的电子控制系统信息。

    两年之后,他们已经升级至无线连接方式。米勒和瓦拉塞克计划在网上公开部分漏洞资料,为他们下月在拉斯维加斯举办的黑帽安全会议的演讲造势。两名黑客最新的研究成果让整个汽车行业坐立不安,甚至可能帮助促成相关法规的诞生?!读摺吩又玖私獾?,近日,两位参议员艾德·马基(Ed Markey)以及理查德·布鲁门塔(Richard Blumenthal)计划提出汽车安全法案,为轿车和卡车设立全新的数字安全标准。他们的动议正是受到米勒与瓦拉塞克在2013年的研究成果所影响。

    该法案应该能够在某种程度上防止事态恶化。现在,米勒与瓦拉塞克开发的入侵工具已经具备远程触发的能力,而且影响的系统远不止当初我在高速公路上遭遇的仪表盘以及传动系统这两部分。就在我于高速公路上遭遇惨痛经历的当日,他们两人还演示了更多的入侵行为。而在半挂车的车轮下经历了九死一生的考验之后,前方出现的出口匝道让我重新燃起希望,我立马将切诺基驶离高速公路,关掉引擎,重新点火,取得变速器的控制权,调整了自己的心态,然后发现自己可以继续刚才的实验了。

    黑客远程入侵并控制汽车近在咫尺的威胁

    米勒与瓦拉塞克的手段包括降低速度并且最终关闭引擎、突然制动或者让制动失灵。让刹车失灵是最致命的手段,能够让我的SUV侧滑进路标的壕沟。两位黑客老兄表示,他们正在改进汽车的转向控制,目前他们只能在车辆处于倒档时进行控制。他们同时可以控制车上的GPS设备,获取目标车辆的坐标及车速,进而在地图上对车辆的行进路径进行追踪。

    所有这些都得益于克莱斯勒将越来越多的现代技术装备到汽车上,实际上其他车商也是如出一辙。成千上万由克莱斯勒出产的轿车、SUV以及卡车都配备了一种称之为“Uconnect”的可联网计算机功能,负责控制车辆的娱乐以及导航系统,同时可以拨打电话甚至设立Wi-Fi热点。由于该系统存在的漏洞,任何知道车辆确切IP地址的人都可以通过Uconnect的蜂窝网络连接在任何地点对车辆进行控制,米勒与瓦拉塞克将会在今年的黑帽大会上公布具体的细节?!按酉髡叩慕嵌瘸龇?,这些漏洞可谓相当诱人,”米勒表示。

    黑客远程入侵并控制汽车近在咫尺的威胁

    米勒与瓦拉塞克的袭击开始于靠近汽车主机的一个芯片,通过娱乐系统硬件,他们悄悄重写了芯片的固件,植入了自己的代码。经过重写后的固件能够被用来通过汽车内部的CAN总线发送命令,从而控制引擎和转向这类机械部件。米勒与瓦拉塞克表示,针对娱乐系统发起入侵的手法似乎可以用在所有配备Uconnect的2013、2014以及2015年早期推出的克莱斯勒车型上,虽然他们只在切诺基上进行过测试,但他们相信经过适当调整,类似的手法可以用在其他配备了Uconnect主机的车型上。

    在今年的黑帽大会上公布细节之后,米勒与瓦拉塞克会防止有人利用他们的工具在全球针对克莱斯勒车型发起入侵。首先,他们会省略掉关于如何重写芯片固件的部分细节,指望故技重施的黑客只能自己进行反向工程,而这一过程花费了米勒与瓦拉塞克数月时间。但他们计划公布的代码仍然可以被其他人利用来进行GPS追踪。

    其次,早在九个月前,两人就开始将自己的研究成果与克莱斯勒共享,使得公司可以赶在黑帽大会前悄悄推出安全补丁。7月16日,那些车辆配备Uconnect功能的车主收到来自克莱斯勒的通知,要求对系统进行更新,公告只字未提米勒与瓦拉塞克的研究。

    问题是,克莱斯勒的补丁需要用户通过U盘手动更新,或者前往经销商处由他人代劳。这也就意味着相当数量的车主仍会面临风险。

    黑客远程入侵并控制汽车近在咫尺的威胁

    克莱斯勒在回应《连线》网站的提问时表示,他们对米勒与瓦拉塞克的工作表示“感激”。但公司似乎对上述二人打算公开漏洞细节的行为颇有微词??死乘估赵谏髦斜硎?,任何鼓励或帮助黑客在未经授权的情况下获取机动车系统控制权限的行为都是不合适的,虽然公司对此类研究的成果表示支持,但任何行为都不应以牺牲公众的安全为代价。

    对此,米勒与瓦拉塞克表示,尽管这些代码可能让心怀不轨的黑客更容易入侵目标车辆,但这也是他们的研究工作获得人们肯定的唯一手段。此举同样传达出一条讯息,那就是:汽车生产商需要对自己产品在数字领域的安全负责?!跋颜咝枰馐兜轿侍獾难现匦?,”米勒表示,“这也许是某种形式的软件bug,但后果却足以致命?!?/p>

    实际上,米勒与瓦拉塞克并非是首批通过网络入侵汽车的人。早在2011年,来自华盛顿大学以及加利福尼亚大学的研究人员就曾经示范过如何通过无线方式打开轿车的门锁并且紧急制动。但这些研究人员的行事方式相当低调,他们没有透露过多细节,并且选择私下与车商分享了研究成果。

    米勒与瓦拉塞克的行为实际上扮演了“好警察/坏警察”的角色。当年从事研究的加利福尼亚大学圣迭戈分校计算机科学教授斯蒂芬·萨维奇(Stefan Savage)表示,研究人员早在2011年便发出过警告,那些选择无视的车商现在有可能面对公众蜂拥而至的指责,其结果可能是产品召回甚至民事诉讼。实际上,本月早些时候,路虎揽胜就针对一处软件安全缺陷对产品进行过召回,该漏洞可能会被用来开启车辆的门锁。

    对于汽车行业以及相关监管部门来说,米勒与瓦拉塞克公布的研究成果也许是最后的警告,一大波针对“零日漏洞”的袭击很可能不日便会发生。萨维奇表示,行业和监管部门无法选择继续忽略现实,进而祈祷漏洞不会造成大规模的影响。如果他们仍然不认为这是迫在眉睫的危险,那么结果将会是致命的。

    471000辆暴露在危险中的汽车

    米勒与瓦拉塞克正待在前者家中起居室的皮革沙发上。室外,夏日雷暴正在轰鸣;室内,两人正在互联网上扫描潜在的牺牲者。

    Uconnect计算机通过Sprint的移动网络连接至互联网,只有其他Sprint入网设备才能与它们进行通讯。因此,米勒选择了一部廉价的京瓷安卓智能手机连接至一部MacBook,通过带宽有限的3G数据网络,同时将手机设为Wi-Fi热点,扫描就此展开。

    不多时,GPS坐标、机动车识别码、制造商、型号以及IP地址纷纷出现在了笔记本屏幕上。米勒选择了一辆道奇公羊,将它的GPS坐标配合谷歌地图进行追踪,该辆汽车在德克萨斯州德克萨肯纳市高速公路上巡航的情形一目了然。米勒继续扫描,一辆吉普切诺基出现在屏幕上,其正在连接圣迭戈与阿纳海姆的立体高速公路上飞驰。接下来是一辆道奇拓荒者,它正在密歇根州北部半岛的乡间小路上行进。当我让他继续扫描时,他犹豫了??吹酱游茨泵娴哪吧思菔怀盗驹诘赝忌弦贫?,驾驶者置身于危险中却毫不知情,想到这些,米勒的内心产生了动摇。

    当米勒与瓦拉塞克首次发现Uconnect存在的漏洞时,他们认为入侵仅仅通过直接Wi-Fi连接才能发起,这样就将袭击的距离限制在了几十码的范围内。而当他们于今年夏季早些时候发现了Uconnect还存在移动网络漏洞之后,他们仍然认为,袭击只能经由与车辆连接至同一无线基站的手机才能发起,而要符合条件,入侵距离也被限制在了数十英里以内。但是,他们很快就发现,上述距离限制其实并不存在,他们找到了在任意地点实施入侵的手段。瓦拉塞克表示,他对这一发现感到相当震惊。想象一下,任何正在高速公路上疾驶的车辆都可能成为牺牲品,这是多么可怕的景象!

    在那一刻,两人多年来的研究工作到达了顶点。米勒是来自Twitter的安全研究员,同时是一位前美国国家安全局黑客,瓦拉塞克则是来自顾问公司IOActive负责机动车安全研究的主管。2012年秋季,他们受到加利福尼亚大学圣迭戈分校以及华盛顿大学研究的启发,向美国国防部高级研究计划局申请了汽车入侵研究方面的许可。他们花费80000美元购买了丰田普锐斯以及福特Escape。在其后一年里,他们从数字以及机械方面对车辆展开了详细分析,对车辆的电子控制单元进行了仔细研究,学习利用CAN网络协议与车辆对话,进而控制它们。

    2013年,当两人在DefCon黑客大会上对入侵车辆进行演示时,丰田、福特以及其他汽车行业厂商对此轻描淡写,指出入侵所需的硬连线在实际生活中难以实现。丰田还特别强调,他们的系统面对无线入侵是“健壮和安全的”?!拔颐堑难芯课薹ǘ云抵圃焐淘斐扇魏斡跋?,”米勒表示。为了引起这些车商的关注,他们必须找到远程入侵的方法。

    因此,在接下来的一年时间里,他们在每个主流车商的网站上注册了维修工程师账号,下载了各种机动车技术手册及布线图。利用这些技术资料,他们根据3种指标,挑选出24款最具入侵危险的轿车、SUV以及卡车。他们评选的依据是:机动车具备多少网络连接能力以及采用何种连接方式;可联网计算机系统是否与关键驾驶系统之间采取了适当的隔离措施;关键系统是否采取了“电子与机械部件”混合设计方式(是否数字指令可以触发机械部件运作,例如转向或制动)。

    在那次的研究中,吉普的切诺基被评为最易遭到入侵的车型??侠说目椎乱约坝⒎颇岬系腝50也没有好到哪里去。米勒与瓦拉塞克将后两款车型形容为第二以及第三易遭受入侵的车型。当《连线》告诉英菲尼迪,米勒与瓦拉塞克的研究中至少有一项威胁已经被证实时,公司在一份声明中回应道,他们的工程师正在展开研究,并将作出相应改进。而凯迪拉克则回应说,数字安全是一个新兴领域,他们将会向该领域投入更多资源和工具,包括于近期雇佣了一名首席产品网络安全官。

    2014年,米勒与瓦拉塞克决定将关注重点放在切诺基上,他们花费了整整一年来寻找各种漏洞,同时利用反向工程来证实他们的猜想,但一直没有任何进展。直到6月,位于匹兹堡的瓦拉塞克通过自己的笔记本发出一条命令,成功启动了行驶在圣路易斯公路上由米勒驾驶的吉普的雨刮,事情才有了转机。

    自那时起,米勒便多次扫描Sprint的网络,发现并记录存在安全隐患的车辆的识别码。他们利用识别与追踪野生动物数量的算法,配合扫描得来的数据,估算出在道路上大约行驶着471000辆配备Uconnect系统且暴露在危险中的汽车。

    根据上述信息找到具体车主不是一件容易的事情。米勒与瓦拉塞克的扫描只能获取随机的机动车识别码、IP地址以及GPS坐标。通过Sprint手机对特定的机动车进行识别基本上属于大海捞针。但是,米勒表示,如果同时启动足够数量的手机进行扫描,还是有希望对特定人士进行定位。更糟糕的是,一名具备足够经验的黑客可以控制一组Uconnect主机,然后利用这些设备发起更大规模的扫描,同时还可以经由Sprint的网络实施更大规模的入侵。其结果可能导致通过无线连接的方式控制成千上万辆机动车组成的僵尸网络。

    “2013年,有些人对我们的工作表示不屑,认为我们的入侵需要接入仪表盘才能够实施,”瓦拉塞克说道,“现在不知道这些家伙又该说些什么了!”

    国会的反应

    现在,汽车行业是时候采取行动,对自己的消费者实施?;ご胧┝?。而国会也许会通过立法督促这些车商切实采取行动。

    近日,参议员马基以及布罗曼索将会提出新的法案,就机动车抵御入侵威胁制定新的标准。法案将会要求国家公路交通安全管理局以及联邦贸易委员会设立全新安全标准,同时针对消费者创建一个隐私与安全评级系统。马基在一份声明中对《连线》表示,驾驶者不应该在联网能力和安全性能间进行选择,人们需要清晰的规则来?;に境巳嗽钡陌踩?。

    马基多年来一直关注米勒与瓦拉塞克的研究进展。自后两者在2013年开展获得美国国防部高级研究计划局资助的研究项目并进行展示以来,马基便致信20家车商,要求他们回答关于安全准则方面的一系列问题。答案于今年2月公布,印证了马基所描述的情况——这些车商明显缺乏适当的安全手段?;ぜ菔徽呙馐芎诳腿肭只档耐?。16家做出回应的车商全都证实,每一辆机动车都具备某种形式的无线网络连接,包括蓝牙、Wi-Fi、无线数据服务等等。仅有7家车商表示他们聘请了独立的安全公司对产品的数字安全进行了测试。仅仅只有2家公司表示,他们的产品配备了监测系统,能够对CAN网络进行扫描,随时检测恶意数字命令。

    加利福尼亚大学圣迭戈分校的萨维奇表示,米勒与瓦拉塞克研究并非向人们强调切诺基或任何特定的车辆多么容易遭受入侵威胁,研究的意义在于向人们揭示了任何现代车辆在此方面存在的问题。无论是欧洲、日本还是美国车商在此方面都或多或少存在问题。

    除了那些通过无线方式开启车门的盗窃事件之外,迄今为止,仅有一起恶意车辆入侵事件被记录在案。2010年,在德州奥斯汀,一位心怀不满的员工利用强制车主付款的远程锁定系统锁死了超过100辆机动车。无论如何,随着越来越多的汽车具备可联网能力,现实世界中此类事件的发生数量将呈上升趋势。Uconnect只是众多车载信息系统中的一个,通用汽车的Onstar、雷克萨斯的Enform、丰田的Safety Connect、现代的Bluelink、英菲尼迪的Connection,随便都可以列举出一大堆类似系统。

    实际上,汽车制造商现在越来越重视数字安全方面。然而,出于竞争方面的考虑,车商可能会针对娱乐、导航及安全功能部署更多的全新联网服务,而且此类服务的订阅费用可以为厂商带来不错的收入。其结果就是,汽车上配备了更多的可联网服务,由此可能引发更多的安全问题。

    一家长期关注汽车安全问题的团体提出了五点建议:采取更加安全的设计以减少可能遭受入侵的节点;第三方测试;内部监测系统;采取彼此独立的架构,限制危害的蔓延;采取与如今PC更新软件相同的方式来更新汽车上的软件。最后的一点建议已经被诸多厂商付诸实施。福特在今年3月宣布推出无线网络更新功能,宝马在1月也通过同样方式修补了一处门锁的安全漏洞。

    该团体同时表示,车商对发现并公布漏洞的黑客应该更为友善一些,他们可以向如微软这样的软件公司学习,后者邀请黑客参加安全会议,同时为那些发现漏洞的人士颁发奖金,由此可以激励人们更多的发现漏洞,厂商接下来就可以致力于修补这些漏洞,将问题扼杀于萌芽中。

    我驾驶着那辆切诺基从圣路易斯下城区返回米勒的家中。我认为,汽车入侵的威胁不太可能在3至5年后才会全面爆发,很可能突然之间,人们纷纷发觉自己正置身于危险之中。而米勒与瓦拉塞克的研究至少为人们敲响了警钟,无论是车商的重视,还是消费者的呼声和压力,至少都能够起到一定的积极作用。至于最终结果如何,只有让时间给我们答案了!


    相关推荐

    19500彩票网网站

    上海快福利彩票网:400-8842-880

    品牌网站设计塑造高颜值公司!

    • 售前:0771-2860265 / 5783282
      13481069551(卢经理)

    • 售后:0771-5783282

    • 工作时间:09:00 - 18:30

    ©2019.ALL RIGHTS RESERVED.南宁博信网络技术有限公司  桂ICP备10201394号  桂公网安备45010302001330号 html网站地图 xml网站地图
  • 大便很“血腥”?这可不一定是痔疮造成的 2019-11-10
  • 重磅岀炉!CDR交易细则来了,没有资产限制,总体与A股一致,首单小米19日上会 2019-11-10
  • (两会受权发布)最高人民检察院检察长简历 2019-11-08
  • 太原网友:建议公交调整河西线路 2019-11-08
  • 近九成券商股逆市上涨 防御+反弹攻守兼备 2019-11-03
  • 青春逐梦向阳之路 平台引擎加速成长 2019-11-02
  • 端午小长假 游人“醉”西湖 2019-11-02
  • 谢谢这位家长,不然这位雨中护送高考生的交警还没有人知道呢 2019-11-01
  • 《汶川十年·我们的故事》一:寻找向日葵 2019-10-25
  • 人民网评:青年有梦想有责任,国家有希望 2019-10-25
  • 西安位居最受欢迎十大旅游城市第四 2019-10-23
  • 人民观影团:《恐袭波士顿》用爱来驱散暴恐阴霾 2019-10-23
  • 挑剔出了名的莱佛士新酒店选址波兰 只为了致敬艺术复兴? 2019-10-12
  • 流溪河森林公园美不胜收 2019-10-09
  • 海鲜排档公然销售违禁海鲜 执法部门责令整改 2019-10-05
  • 和讯股票行情 600787股票行情 今日股票推荐sina 厦门股票配资利息多少 沪深股票指数 股票融资l鑫配资 股票涨跌免费预测 股票行情分析 台湾股票分析师 a股票指数