汽車黑客攻擊：聯(lián)網(wǎng)汽車漏洞和利用的歷史

多年來，車輛黑客變得越來越流行。Wired Jeep hack 黑客事件是其中一個引人注目的大事件。雖然特斯拉較少公開弱點，但特斯拉有一個獎勵發(fā)現(xiàn)漏洞的黑客的項目。

聯(lián)網(wǎng)汽車數(shù)量逐漸增加，汽車制造商將車載功能逐漸添加到連接網(wǎng)絡(luò)才能操作，從無線手機充電到車載娛樂系統(tǒng)。在每次連接到Internet時，黑客都可以利用新的漏洞。

汽車黑客的盛行也使惡意組織比任何時候都更容易遠程侵入車輛。通過在不需要的情況下加速或猛踩剎車等干擾操作，對行駛中的車輛造成傷害。

什么是車輛黑客攻擊，它們是如何發(fā)生的?

車輛黑客到底是什么?

車輛黑客是指有人通過互聯(lián)網(wǎng)遠程控制你的汽車或汽車上的一些輔助系統(tǒng)。

車輛漏洞已被利用多年，但由于現(xiàn)代車輛具備普遍的聯(lián)網(wǎng)功能，現(xiàn)在有可能進行新的車輛黑客攻擊。他們可能會通過CAN總線、藍牙配對等軟件訪問您汽車的計算機系統(tǒng)，或通過對連接器和端口的物理訪問來實現(xiàn)這一點。

對此類安全漏洞的監(jiān)管并沒有跟上技術(shù)發(fā)展的步伐，因此，了解車輛黑客的工作原理、正在采取的措施以及對駕駛員的潛在影響非常重要。最臭名昭著的汽車黑客事件之一發(fā)生在2015年，當(dāng)時兩名安全研究人員能夠“殺死”吉普車的油門。

其他車輛黑客事件包括數(shù)據(jù)泄露，例如2018年Calamp權(quán)限分配事件，當(dāng)時用戶的詳細信息可以通過配置錯誤的物聯(lián)網(wǎng)服務(wù)器訪問。

聯(lián)網(wǎng)汽車漏洞的歷史

技術(shù)進步引發(fā)的汽車聯(lián)網(wǎng)愈加頻繁，而黑客也正在利用許多導(dǎo)致車輛黑客攻擊事件的新漏洞。互聯(lián)網(wǎng)犯罪分子并不是唯一入侵汽車系統(tǒng)的人，一些黑客和研究小組也擔(dān)心汽車接入互聯(lián)網(wǎng)的危險。

2016年，黑客們發(fā)現(xiàn)了特斯拉Model S的缺陷，使他們能夠控制部分汽車的系統(tǒng)。特斯拉通過無線更新迅速修補了這些漏洞，考慮到許多汽車制造商要求客戶訪問經(jīng)銷商才能完成軟件更新，這一點令人印象深刻。

過去發(fā)生的攻擊類型

在大多數(shù)情況下，黑客入侵被確定是由汽車制造商合作的第三方系統(tǒng)引起的，然而，關(guān)鍵的FOB攻擊也在增加。

多年來，中繼攻擊裝置的關(guān)鍵FOB黑客攻擊一直是新聞熱點，例如來自Evan Connect 的裝置。它們通過捕捉來自無鑰匙進入車輛的信號，然后將預(yù)期的解鎖信號傳回車輛來工作。它們旨在供個人使用和安全測試，但它們也可用于犯罪活動，盡管這些設(shè)備本身并不違法。

另一個關(guān)鍵的FOB攻擊程序是由安全研究人員利用特斯拉的固件更新程序創(chuàng)建的。通過使用一系列硬件元素，例如Raspberry Pi 和報廢Tesla的舊ECU模塊，攻擊者可以從安全距離讀取受害者的關(guān)鍵FOB ID，然后克隆該簽名。

這樣的例子不勝枚舉。重點是，聯(lián)網(wǎng)汽車中存在太多漏洞，車輛黑客攻擊已經(jīng)是一個日益嚴重的問題。雖然許多漏洞已得到修復(fù)，但仍有更多漏洞需要解決。汽車制造商已經(jīng)開始提供無線修復(fù) (OTA)，這樣有效地確保客戶可以使用最新的安全修復(fù)程序更新他們的車輛。

并非所有車輛網(wǎng)絡(luò)攻擊都會對其乘客造成傷害，但若信息被竊取或被訪問，用戶很容易遭到身份盜用和欺詐。保護自己免受黑客攻擊是很困難的，即便很努力地更新軟件，他們也可能沒有修補代碼中的問題。

目前汽車的關(guān)鍵代碼規(guī)模提升了10倍甚至100倍，代碼漏洞也呈現(xiàn)指數(shù)級增長，更多時候是軟件代碼的增加帶來了安全風(fēng)險的增加。此前有網(wǎng)絡(luò)安全相關(guān)人員表示，在大量的代碼中，不但在引入的模塊存在漏洞，自己在編寫代碼時每千行代碼就可能引入4到6個安全缺陷。這些安全缺陷為汽車安全造成重大安全隱患。

數(shù)據(jù)顯示，90%左右的網(wǎng)絡(luò)安全事件是由漏洞被利用導(dǎo)致的，而在開發(fā)期間通過靜態(tài)代碼檢測可以幫助開發(fā)人員減少30%-70%的安全漏洞，大大提高軟件安全性，提高軟件自抵御網(wǎng)絡(luò)攻擊的能力。尤其在汽車系統(tǒng)中的安全漏洞關(guān)乎生命安全，建議開發(fā)企業(yè)在軟件開發(fā)生命周期中，重視代碼安全和軟件安全，提高聯(lián)網(wǎng)汽車的安全性。

參讀鏈接：

https://resources.infosecinstitute.com/topic/vehicle-hacking-a-history-of-connected-car-vulnerabilities-and-exploits/