大众、福特畅销车深陷漏洞危机,你的爱车真的安全吗?

阅读量64165

发布时间 : 2020-04-16 18:42:01

pastedGraphic.png

 

安全是所有0前面的1。

【快讯】安全的世界里似乎一刻都不消停。近日,英国消费杂志《Which?》联合网络安全公司发布通告称:大众Polo SEL TSI手动1.0L的汽车计算机系统中,负责牵引力控制的模块存在安全漏洞,黑客可借此获取车辆信息娱乐系统中存储的电话号码、地址以及导航历史记录等敏感信息;此外,研究人员还可使用最基本的电脑工具,拦截并修改福特福克斯纯钛自动1.0L汽车中的轮胎压力监控系统(TPMS)中传感器所发出的消息,以误导驾驶员做出错误行驶判断。前有奔驰、宝马、丰田等厂商屡遭黑客甚至国家级APT组织的攻击,而今,福特大众厂商也面临漏洞危机挑战。尤其在大数据、云、5G进一步发展当下,未来汽车领域也将越发智能化、互联网化,而与之同来网络安全问题也将变得更加凸显,更加不容忽视。

 

大众福特汽车陷重大安全漏洞危机 面临生命安全与数据泄露双风险

近日,英国消费杂志《Which?》联合网络安全公司Context Information Security发布通告称:大众、福特两大汽车行业巨头计算机系统存在大量安全漏洞,可导致车辆监控、预警系统发出错误信息,误导驾驶员行驶判断,并泄露车主信息娱乐系统中的相关敏感信息。

报告显示,大众Polo SEL TSI手动1.0L的汽车计算机系统中,负责车辆湿滑路面行驶时牵引力控制的模块存在安全漏洞,黑客可借此获取车辆信息娱乐系统中存储的电话号码、地址以及导航历史记录等敏感信息。

此外,研究人员还发现,只要抬起汽车前部的大众徽章就能进入前雷达模块,黑客可通过这一动作进一步篡改车辆碰撞预警系统。

而福特汽车的安全漏洞似乎更严重一些。研究人员发现,他们使用基本的亚马逊的“廉价笔记本电脑和售价25英镑的小工具”,就能拦截篡改福特福克斯车型上由轮胎压力监控系统(TPMS)发送的消息,比如,在轮胎没有充气时错误地报告轮胎已经正确充气,以此干扰驾驶员做出正确的行驶判断。

pastedGraphic_1.png

在更进一步的分析中,福特计算机系统的代码中还被发现了一些包括wifi详细信息和一个似乎是福特生产线计算机系统的密码,扫描过后,确认该网络属于是福特位于密歇根州底特律的装配厂。同样的,福特汽车中也存在应用程序随时共享车辆敏感信息的现象。

安全研究人员所测试的这两款车型在世界范围内的购买率十分之高,一旦这些漏洞被黑客组织用于投入实战进行攻击,后果不堪设想。

对此,《Which?》杂志的编辑丽莎·巴伯(Lisa Barber)表示:“现在,大多数汽车都包含功能强大的计算机系统,但是对这些系统的监管缺乏明显意义,这意味着它们可能会受到黑客的广泛攻击,从而使驾驶员的安全和个人数据面临风险。”

然而,这份担忧并非首次,汽车厂商遭遇网络攻击早有先例,巨头汽车厂商纷纷在列……

 

汽车巨头深陷被攻击漩涡 未来汽车工业安全引人担忧

今年,2月28日,在RSA 2020“Security Strategy & Architecture”(安全策略与架构)会议上,360Sky-Go团队披露,去年在梅赛德斯-奔驰联网汽车的安全研究项目中,发现多达19个安全漏洞。通过结合硬件和软件漏洞形成的攻击链,可以实现对中国境内百万辆梅赛德斯-奔驰联网汽车实现非接触式远程控制。以至于在去年12月,奔驰就与360达成合作,共同促进行业联网汽车信息安全能力。

pastedGraphic_2.png

奔驰汽车算是万幸,在危机爆发前及时被安全厂商发现预警并采取了有效防护。然而,下面的宝马、丰田却没那么幸运了,更为糟糕的是,它们遭遇的是国家级黑客的攻击。

2019年,德国慕尼黑宝马汽车公司的计算机网络遭遇越南国家级APT组织“海莲花”的渗透攻击,致使其内部多台计算机被远程监视和控制,迫不得已下,该公司在6月份将有关计算机进行了脱网。(智库在《国家级黑客组织“海莲花”攻陷宝马,汽车工业成APT新目标》有过详细报道,读者可点击标题链接进一步阅读)

pastedGraphic_3.png

无独有偶,去年2月丰田汽车也被“海莲花”黑客组织攻击,旗下多家子公司受到影响,包括:丰田东京销售控股有限公司、东京丰田汽车公司、丰田东京卡罗拉在内的多家子公司皆受牵连,近310万丰田用户的敏感信息被置于黑客的服务器内。

pastedGraphic_4.png

然而,不止于宝马丰田等巨头汽车厂商遭遇国家级黑客攻击,伴随5G、大数据、AI技术广泛应用,汽车向着智能化、网联化、电动化和共享化发展,未来整个汽车工业安全都引发我们深重的担忧。

因为,在未来,智能驾驶系统、信息娱乐系统、底盘控制系统和动力控制系统都将与互联网联接,并通过网络进行数据传输和软件升级,这都为黑客组织提供了绝佳的“狩猎”机会:从安全极为重要的汽车系统,到对后端服务器的数据中心黑客行动,再到共享汽车领域的身份盗窃,甚至还有隐私问题。

黑客可以从任意环节下手,进行牟取更高的价值与利益。尤其当国家级黑客组织将汽车工业厂商纳入攻击版图后,锁定关键目标,窃取敏感数据、机密情报,甚至更进一步的恐怖袭击,这似乎都有可能。

以至于当被问及5G之下哪个行业将最先出现网络安全隐患?安全巨头厂商的董事长兼CEO周鸿祎先生直接回答:“车联网”,并在去年全国“两会”上,强调“网

络安全应成为智能汽车标配”。

智 库 时 评

从汽车厂商自身曝出漏洞,到被国家级黑客组织攻击,这无疑再次给汽车行业敲响了警钟。数字化新基建的到来,把网络安全列为智能汽车标配愈发迫在眉睫。而对此,智库认为:

1.智能车辆乃是未来数字化城市的基础载体,需完善配套的智能汽车安全管理体系,加强安全法规及技术的研发力度。

2.建立车企乃至供应链的安全机制,确保车辆出厂前达到既定安全标准,出厂后可做到安全动态监控及实时防御。

3.建立安全测试及靶场体系,通过攻防博弈来从实战角度提升系统安全与稳定。

本文由国际安全智库原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/203256

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
国际安全智库
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66