最新调查结果显示,智能联网汽车明显缺乏必要的安全措施,黑客完全可以控制联网车辆,或者通过汽车获取司机的个人信息。
背景
我们已经进入了科技发展的一个新阶段。每一天,越来越多的新设备连接到互联网,互联网的引入使得智能手表、可穿戴设备、IP冰箱、IP洗衣机都可能遭受黑客攻击,联网汽车的数量每年都在增加,虽然这些汽车都很好地配备了碰撞自动提醒、超速通知以及安全警报功能,但报告显示它们易于遭受黑客攻击,因为目前还未采取充分的措施保护这些联网汽车免受黑客攻击。
黑客已经认识到一个新的攻击平台,这使得联网汽车面临的威胁将越来越大。联网汽车可以使我们的云服务、电子邮件、短信、联系人,以及其他的个人、金融和工作数据易于遭受黑客攻击。通过上面这些服务,攻击者可以确定汽车的位置,同时还可以通过汽车的GPS来锁定它的位置。此外,黑客还可以访问汽车网络对交通造成严重破坏,甚至威胁车辆乘员的安全(FreeBuf相关报道)。
联网汽车的安全风险
联网汽车可以通过C2C(car-to-car,车对车)或C2I(Car-to-Infrastructure,车到机构)连接实时共享信息,它正在慢慢成为物联网的一部分。专家预测,物联网风险今年将大幅度上升,所以在保证这些设备网络安全方面,我们应该采取一种完全不同的新方法。在联网汽车的初步发展阶段,仅仅依靠一些头脑灵活的网络安全专家并不足以应对汽车网络攻击的多样化。我们应该分析并评估如何从互联网或汽车的数据请求中获取数据,因此,重点就落在了云端。
美国交通部认为,设备-设备或V2V(vehicle-to-vehicle)通信将可能实现,使得路上的汽车可以自动交换数据,例如速度、方向等,并可以发送警报以避免事故或交通堵塞。同时,当在车里时,汽车将成为个性化的数字助理。最近,德国汽车公司宣布,他们正在发布汽车的一个无线更新,这利用了汽车中一个基于SIM卡的ConnectedDrive模块,它允许司机远程解锁他们的汽车。但是德国汽车俱乐部ADAC已经逆向了该远程信息处理软件,并提醒说,宝马汽车中的一个漏洞使得可以通过第三方解锁汽车(FreeBuf漏洞分析)。
理论上,黑客能够通过创建一个虚假的移动网络来欺骗汽车解锁,虽然该漏洞存在于220万辆宝马车、Mini和劳斯莱斯中,但还没有证据表明已经有针对该漏洞的利用。尽管公司及时修复了该漏洞,但从这次事件中仍然能够看到联网汽车的安全形式是多么严峻。
通过提供汽车数据传输的安全性,包括通过HTTPS加密汽车数据,宝马汽车已经修复了上述漏洞。然而,问题出现了,为什么之前不采用标准的HTTPS通信技术呢?市场上几乎100%的汽车都包含无线技术,这些技术中可能包含能被黑客攻击或窃取隐私的漏洞。根据Frost&Sullivan的消息,到2020年,汽车将会利用从10到100的所有以太网端口。
商务、科学和运输委员会成员Markey在一份声明中说。
“司机已经依赖了这些新技术,但不幸的是,汽车制造商没有做到他们应做的部分,即保护我们免受网络攻击或隐私入侵。即使现在联网汽车比以往任何时候都多,但目前我们的科技系统和数据安全在很大程度上仍然未受到保护。”
这些联网汽车中的漏洞可以通过一个事件证明,即一个14岁的男孩仅仅花费15美元就能轻松解锁并启动一辆联网汽车。这种汽车在未来几年将不可避免地随处可见,随着人们寻找更安全的驾驶经历,他们的汽车将连接到当地基础设施,例如交通信号和应急服务,但安全问题似乎变得更糟糕。