网络安全 频道

汽车将成为下一个黑客大肆攻击的目标?

  新型计算机化汽车或遭黑客攻击,但不会成为大多数恶意黑客的主要攻击目标。

  安全专家表示,由于对计算机依赖程度日益增加的新无线技术能够使汽车更安全、能耗更低、更现代化,汽车遭黑客攻击已开始由以前的理论转入现实世界。

  安全厂商NetraGard首席技术官兼总裁艾德里尔·迪索特斯(Adriel Desautels)说:“现在,计算机化系统已控制汽车关键部件,如汽油、刹车等。我们现在依赖的技术还不成熟。”

  通常,创新目的是提高汽车安全。例如,2000年福特汽车中使用的费尔斯通(Firestone)轮胎召回后,美国国会通过强化交通工具召回责任和文件法案(Transportation Recall Enhancement Accountability and Documentation, TREAD),要求在新型汽车中安装轮胎压力检测系统(TMPS),一旦轮胎充气不足,将及时提醒驾驶人员。

  无线轮胎压力检测系统被标榜为节约燃料的好帮手。轮胎压力控制装置上装有无线电频率发射器,可通过控制器区域网络(CAN)向汽车中央计算机发送指令。通过车载自动诊断系统(OBD-II),控制器区域网络总线使电子设备相互通信,然后触发汽车仪表盘上的警告信息。

  美国南卡罗来纳州大学(University of South Carolina)和罗格斯大学(Rutgers University)的研究人员测试了两套轮胎压力检测系统,发现其安全性并不可靠。他们使用价格低廉的设备就能够在相隔40米远、高速行驶的汽车内打开或关闭另一辆汽车内的轮胎压力降低警告灯。

  报告称:“谎报轮胎压力降低,乍一看似乎并不可怕,顶多是仪表盘发出警告,驾驶人员将车开到路旁后检查轮胎。但根据以往经验,这将为恶作剧或实施犯罪活动提供机遇。”

  负责这项报告的研究人员之一特拉维斯·泰勒(Travis Taylor)说:“轮胎压力检测系统是汽车上主要安全系统,是被法律认定的安全系统,但目前却并不安全。考虑到汽车上添加的其它无线系统,我们应该对这一问题引起重视,认真考虑这对未来的系统又将意味着什么?”

  美国南卡罗来纳州大学计算机科学与工程系助理教授徐文媛(Wenyuan Xu音译)说:“研究人员并非杞人忧天,他们希望指出安全漏洞,警告业界进行修正。我们希望业界在问题恶化前提高警惕。”

  已经有研究人员着手研究汽车内无钥匙开关门的安全问题了。华盛顿大学和加利福尼亚大学今年5月份发布的一份报告显示,通过车内网络协调计算机使用还存在其它风险。研究人员通过试验发现,笔记本连接车载接口后,能够通过另一辆车中的笔记本无线控制该系统,系统很容易受到攻击。

  他们在一辆车中能够对另一辆车进行遥控,可进行刹车、锁死引擎,改变里程表显示,打开无线电广播、按动喇叭等操作。但要发动攻击,就必须进入汽车内部。尽管使用汽车攻击的可能性非常小,但如果有人进入停放在汽车修理厂或停车场的汽车内,发动攻击也不是不可能的事情。

  报告指出,“由于汽车中整合了大量智能服务和通信功能,现代汽车攻击范围日益精确。在美国,政府强制预装车载诊断接口的几乎都是现代化汽车,可直接访问内部汽车网络。用户自行升级的子系统如音频播放器都使用同一内部网络。”

  引擎控制装置

  上世纪70年代后期,随着加利福尼亚州空气清洁法案出台,汽车内安装引擎控制装置日益普及。其初衷是提高燃油效率,通过燃烧前调节燃料和氧气混合比例减少空气污染。报告指出,之后引擎控制装置几乎进入汽车运行与诊断的各个领域,其中包括油门、传动装置、制动装置、照明控制、外部灯光、娱乐设备等等。

  由于安全系统并未与非安全系统完全分离,所以出现大量嵌入式计算机。另外,汽车制造商还将引擎控制装置与全球定位系统等外部网络连接。如通用汽车推出OnStar系统能够检测车内问题,警告驾驶人员,进行紧急呼叫,甚至允许OnStar人员远程开启或停车。

  Green Hills软件为用户汽车内部的嵌入式设备和其它嵌入式设备开发操作系统,其首席技术官戴夫·克勒德马赫(Dave Kleidermacher)今年7月份发表一篇题为“智能手机+汽车=愚蠢?”的文章,指出通用通过OnStar在2011年推出的大多数汽车中添加智能手机连接。他写道:“目前,普通人只需一个手机信号就能够打开、锁上车门,真是破天荒。”

  克勒德马赫表示,汽车制造商在设计系统时脑中应时刻装着安全意识。他说:“将智能软件带入汽车,却不从根本上保证安全,这将是造成灾难的罪魁祸首。”

  安全厂商NetraGard的迪索特斯说:“车内技术没有考虑安全因素,因为目前人们还没有感到威胁。汽车制造商认为黑客不会攻击一辆汽车,车内网络安全暂时还不会是制造商的主要担忧范畴。但一旦汽车与互联网连接并拥有IP地址后,就会成为黑客愚弄的目标。”

  目前谈论的黑客攻击汽车都是一些理论。首先,黑客攻击汽车与攻击网络银行账户的动机不同;其次,不存在供黑客攻击赚钱的车内平台。

  市场研究公司iSuppli首席分析师艾吉尔·朱丽森(Egil Juliussen)说:“由于车内计算机日益增多,风险也将日益增加,但黑客攻击汽车的难度要较攻击PC的难度大得多。汽车内至少目前还没有Windows之类的操作系统,因此黑客需要研究大量不同的系统,并对之一一熟悉。但这并不意味着爱钻牛角尖的黑客不会这样做。”

  朱丽森指出,驾驶人员目前还不用担忧。他说:“近一两年内车内网络安全还不会有问题,预计5年后才会出现这一问题,但我们目前就需要加强系统安全,做到防患于未然。”

  信息系统

  移动通信与娱乐领域的创新不局限于智能手机和iPad。人们希望很轻松地使用车内设备,利用技术无需动手就能拨打电话、收听音乐。逾200万台福特汽车内安装有SYNC系统,驾驶人员将数字媒体播放器和支持蓝牙技术的手机与汽车娱乐系统连接后,可以进行语音控制。

  安全厂商Netragard首席研究员凯文·菲尼斯特雷(Kevin Finisterre)说:“大量汽车内置蓝牙汽车套件,用户可通过汽车内置麦克风和喇叭使用手机。”

  福特在SYNC系统中采取大量安全措施,其中包括只允许用户安装福特批准的出厂软件和WPA2缺省安全设置,要求客户上网时输入随机给出的密码。汽车在路上行使时,为保护顾客安全,Wi-Fi热点功能会被激活,福特还在SYNC上使用两款防火墙——一款网络防火墙,类似于家庭Wi-Fi路由器;一款独立的CPU,防止车内非法信息发送到其它模块。

  福特SYNC电子与电气系统工程全球主管吉姆·巴克卡沃斯基(Jim Buczkowsk)说:“我们使用的是一般IT人士保护企业网络的安全模式。”

  目前开发人员根据开源技术正在开发有竞争力的车辆“资讯娱乐”平台,约有80家公司组成Genivi联盟,为汽车内部信息和娱乐解决方案创建开放标准和中间件。

  在被问及Genivi是否从一开始就将安全整合至其平台中时,该财团产品定义与计划集团主席塞巴斯蒂安·齐默曼(Sebastian Zimmermann)说,这将取决于品牌汽车制造商、定制应用及Linux提供的安全机制的利用程度。

  齐默曼说:“汽车厂商要有安全意识,并认真对待安全问题。随着汽车应用新界面不断向外界开放,安全问题将日益突出。汽车厂商需要在开放与安全之间寻求平衡。”

  另一个安全隐患是,汽车可能效仿智能手机和网络服务,获得定制化的第三方应用。传Hughes Telematics正在与汽车制造商合作,为驾驶人员提供应用商店。

  从某种意义上说,这一安全隐患已经显现,如警车和学校校车都配置视频摄像头,引发大量安全和隐私问题。

0
相关文章