社交账号登录

社交账号登录

0/34

上传头像

拖拽或者缩放虚线框,生成自己满意的头像

头像

预览

忘记密码

设置新密码

智能

黑客成功控制了行驶中的汽车,而它甚至不是自动驾驶

赖江锟 2015-07-23 14:17:00

车联网的问题开始浮现出来。

没有炫酷联网功能的普通汽车,只是装了个娱乐系统也可能被黑客控制。

两名安全专家 Charlie Miller 和 Chris Valasek 向《Wired》(连线杂志) 记者 Andy Greenberg 演示了如何让司机对高速行驶的汽车彻底失去控制。当 Greenberg 开着这辆被黑的 Jeep 切诺基在高速公路飞驰时,Miller 和 Valasek 先是用电脑远程调高了车载音响的音量,然后开启了冷空调、雨刮器。他们甚至可以控制油门和刹车,对于高速行驶中的汽车而言,这是生死攸关的安全问题。

Miller 和 Valasek 这次入侵成功,是利用了 Jeep 切诺基的车载系统 Uconnect 的漏洞。Uconnect 是菲亚特克莱斯勒 (Jeep 母公司) 的互动娱乐系统。这套系统在克莱斯勒的汽车市场十分常见,可以连接到运营商 3G 网络,目前已广泛部署在该公司旗下的汽车当中,包括克莱斯勒 300、道奇酷威、Jeep 切诺基等大量车型。

这两名安全专家远程给汽车安装了预先写好的代码,能够远程控制汽车的娱乐系统、制动、以及油门等功能。

在去年,Miller 和 Valasek 就已开始研究 Jeep 的安全问题,除了做到上述这些入侵,他们还能获得车辆的地理坐标和时速,甚至可以绘制出行驶路线图。

Miller (左) 和 Valasek (右) 正在远程控制汽车Miller (左) 和 Valasek (右) 正在远程控制汽车

虽然 Jeep 在 7 月 16 日放出了安全更新,但却需要用户自己手动下载补丁,再通过 U 盘拷贝到车上进行升级。可能会有不少车主因为嫌麻烦或忘记更新。今天你买的电脑或者手机早已是自动提示下载更新、甚至直接帮你打上补丁。

在此前 9 个月里,Miller 和 Valasek 一直在与克莱斯勒分享研究进展,虽然两人在今年夏天才发现可以远程入侵 Jeep 切诺基,但有线攻击在去年就已被发现。对于为何直到上周才发布安全补丁,克莱斯勒并未说明原因。另外,在其为安全升级所写的声明中,对 Miller 和 Valasek 两人的贡献也是只字未提。

这次 Jeep 切诺基的漏洞并非小事。今年 6 月,Miller 通过扫描运营商网络发现,含 Uconnect 系统漏洞的车辆有 47 万辆之多,这些车型可能产自 2013、2014、以及 2015 三年。克莱斯勒称目前漏洞仅仅影响美国市场销售的汽车。

此外汽车厂商在看待系统安全性的态度也令人怀疑。在 2013 年,Miller 和 Valasek 曾演示了丰田、福特等汽车的漏洞,但厂商表示 Miller 和 Valasek 展示的入侵行为需要黑客坐进车内用数据线连上汽车才能完成,言下之意是两人多虑了。然而,这次展示的就是远程侵入汽车系统。

汽车厂商天天谈智能和联网,但很明显还没准备好像互联网公司一样应对安全问题。


题图来自:RoadWeb

喜欢这篇文章?去 App 商店搜 好奇心日报 ,每天看点不一样的。