WooYun Zone镜像——汽车也能被入侵:美黑客本周将公布入侵方式

admin 2020-7-8 1040

两名美国安全研究人员将于本周在Def Con黑客大会上公布丰田普锐斯和福特翼虎的计算机网络入侵方式,希望吸引更多研究人员参与到相关项目中。

汽车黑客并非新领域,但相关信息一直对外保密。不过,这种情况有可能会改变,因为查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)两位知名黑客表示,他们将发布详细的技术蓝图,方便外界通过100页的白皮书了解如何入侵丰田普锐斯和福特翼虎的关键系统。他们的这项研究总共历史数月,并且得到了美国政府的拨款。

米勒和瓦拉塞克都属于“白帽”黑客,他们的主要目的是在犯罪分子利用相关漏洞前,提前将其披露出来。他们还将在本周的拉斯维加斯Def Con黑客大会上发布用于入侵这两款车型的软件。

他们表示,已经开发了一些方式来迫使丰田普锐斯在时速达到80英里(约合128公里)、猛打方向盘或加速引擎时突然刹车。他们还表示,可以在翼虎保持超低车速时让刹车失效,这样一来,无论司机如何猛踩刹车踏板,汽车都可以继续前进。

身为咨询公司IOActive的安全情报总监,瓦拉塞克因为找出了Windows操作系统的众多漏洞而广为人知。他提到上述两个漏洞时说:“试想:假如你正在接近人群,会发生什么事情。”

汽车或将成为黑客一显身手的新战场

但实际情况或许并不像表面听起来那么恐怖。

要利用这些漏洞,这两位研究人员都会坐在车内,用笔记本直接与汽车的电脑网络相连。所以,他们公布的信息无法用于远程入侵汽车网络,而这才是在现实世界中真正发起攻击的主要方式。

他们希望自己公布的数据能够鼓励其他白帽黑客继续寻找汽车的更多安全漏洞,并修复这些漏洞。

“相比于福特和丰田的员工,我更相信100多名安全研究人员的眼力。”米勒说,他目前在Twitter担任安全工程师,以研究苹果公司App Store的入侵方式而著称。

丰田汽车发言人约翰·汉森(John Hanson)表示,该公司正在评估这项成果。他们表示,该公司已经在电子安全领域投入了大量资源,但漏洞依然存在。他在提到黑客攻击时说:“这完全可能,我们非常重视。”

福特汽车发言人克雷格·戴奇(Craig Daitch)也表示,该公司对其产品的电子安全问题非常重视。但他认为,由于这一漏洞需要通过线缆与汽车相连才实现,因此降低了潜在风险。

米勒和瓦拉塞克表示,他们并没有研究远程攻击方式,因为其他专家之前已经研究过这种模式。

一个学术团体曾于2011年表示,他们找到了一种方法利用蓝牙系统和无线网络来入侵汽车。但与米勒和瓦拉塞克的方式不同,该学术团体一直对外保密,并且拒绝透露入侵的汽车型号。

他们的成果受到了美国政府的关注。美国国家高速公路交通安全管理局已经启动了汽车网络安全研究项目。该机构在声明中说:“虽然电子控制的使用量增加逐步提升了交通安全和效率,但也带来了更多挑战。”

但有专家认为,不法黑客可能已经具备发起这类攻击的能力。卡巴斯基研究员蒂凡尼·斯特劳奇·莱德(Tiffany Strauchs Rad)说:“是时候采取防御措施了。”

一组欧洲电脑科学家也计划于8月中旬在美国华盛顿举行的一次会议上,展示针对多个豪华汽车品牌的攻击方式,包括保时捷、奥迪、宾利和兰博基尼。

但大众公司已经从英国高等法院获得了禁令,禁止英国伯明翰大学和荷兰内梅亨大学的研究人员讨论这项成果。

相关研究人员表示,他们将会因为这项禁令退出享有盛誉的Usenix大会。而伯明翰大学和内梅亨大学也表示,他们会推迟论文发布,直到法律诉讼了结为止。

大众公司拒绝发表评论。

相关讨论:

1#

VIP (Fatal error: Call to undefined function getwb() in /data1/www/htdocs/106/wzone/1/index.php on line 10|@齐迹@V@z7y@nauscript|昨晚做梦梦见了一个ecshop注射0day,醒来后忘记在哪了。) | 2013-07-29 11:11

视频:国外黑客无线入侵保时捷911,并且远程操控、遥控

2#

ACGT | 2013-07-29 11:13

不是什么新鲜事,几年前就有人发过paper了

Comprehensive Experimental Analyses of Automotive Attack Surfaces,Experimental Security Analysis of a Modern Automobile

3#

nyannyannyan | 2013-07-29 11:13

然后就像心脏起搏器那家伙一样

4#

Windy (windsay.net) | 2013-07-29 11:18

@VIP @ACGT 今天看新闻时看到的。http://www.ithome.com/html/it/50041.htm

5#

px1624 ("><img src=1 onerror=ale>) | 2013-07-29 11:34

幽灵 电视剧。。。

6#

无敌L.t.H (:?门安天京北爱我) | 2013-07-29 11:44

汽车算毛,火车都能搞。

7#

Windy (windsay.net) | 2013-07-29 11:48

@无敌L.t.H 汽车能搞,火车,飞机,按理也能搞,只是系统不一样而已,思路应该还是一样的。

8#

VIP (Fatal error: Call to undefined function getwb() in /data1/www/htdocs/106/wzone/1/index.php on line 10|@齐迹@V@z7y@nauscript|昨晚做梦梦见了一个ecshop注射0day,醒来后忘记在哪了。) | 2013-07-29 11:56

Charlie Miller:咱们不是研究出了控制汽车吗,来找辆汽车测试下吧

Chris Valasek:我也这么认为

Charlie Miller&Chris Valasek:没人愿意拿汽车帮我们测试啊,还是自己测试吧

Charlie Miller&Chris Valasek 卒

9#

无敌L.t.H (:?门安天京北爱我) | 2013-07-29 12:23

@Windy 嵌入式的东西,编程人员很少注意安全。

10#

大师哥 | 2013-07-29 13:49

越高级越复杂的玩意 漏洞越多。


最新回复 (0)
返回
发新帖