当车厂造出“脱缰野马”,车主的安全保障从何而来?
若马儿懂语言,它会说:“我是一匹被感情拴住的野马,脱缰之日便是我放荡之时。”如今,马儿得以解脱,取而代之的是用铁血钢筋打造出的车辆“铁马”。
然而,正所谓“铁血也柔情”,如今这匹“铁马”似乎也想脱缰放荡一回。
智能车联网的中控系统作为整车的“大脑”部分,亦是最脆弱的地方。通过应用漏洞、系统漏洞、网络攻击、OTA攻击等方式,黑客可以远程控制网联车系统,甚至影响动力系统的正常运行。
当一个人,一台笔记本就可以操控一辆真车的时候;这匹“铁马”脱不脱缰,似乎已经不是传统车厂力所能及的事情了。
随着汽车新四化(网联化、智能化、电动化、共享化)时代的大跨步走来,传统车厂需要一个能够“悬崖勒马”的人来加固这根缰绳,当然,奔驰也不例外。
12月18日,梅赛德斯-奔驰宣布修复了奔驰智能网联汽车的19个有关潜在漏洞,而此次漏洞的挖掘与修复过程,梅赛德斯-奔驰研究人员与360智能网联汽车安全实验室(Sky-Go 团队)进行了紧密合作。
【图:sky-go团队和奔驰老外高管的合影】
一口气被挖出19个漏洞?这些难道都是些无关紧要的小bug?危害性如何,是不是像手机漏洞那样会造成隐私泄露呢,会有更严重的事情发生吗?
实际上,一般汽车信息安全事件都是由多个漏洞组成的,比如以往像克莱斯勒、吉普、自由光汽车攻击也是有好几个漏洞组成的。
但是,火车再长终归是有头有尾,据相关人士透露,这19个漏洞中有两个对整个攻击路径的搭建起到决定性作用,且部分漏洞无法修复,只能通过关停服务来解决问题。
至于目前这19个漏洞具体啥情况,我们不得而知,但发现,相比平板、手机出漏洞,似乎汽车漏洞这件事本身对于车主来说更多的还是好奇。
在被问号三连包围的车主脑海里,汽车这么个交通工具为啥能和漏洞扯上关系,车主们是着实搞不懂。
“脱缰野马”有多可怕?
想象一下,一块木板和一张报纸的一角同时浸入水中,结果如何?没错,木板只会湿一角,而报纸则会整张浸透。
汽车漏洞,就像是报纸的一个角,一旦发现漏洞,轻则影响系统运行,重则牵一发而动全身。
怎么,不相信?那咱就用事实告诉你汽车出bug究竟有多严重吧。
事件1:存不住秘密的汽车
2018年7月,包含大众、特斯拉、丰田、福特、通用、菲亚特克莱斯勒等百余家汽车厂商机密文件被曝光。
其涉及内容从车厂发展蓝图规划、工厂原理、制造细节,到客户合同材料、工作计划,再到各种保密协议文件,甚至员工的驾驶证和护照的扫描件等隐私信息,共计157千兆字节,包含近47,000个文件。
问题的背后,是这些车厂共同的服务器供应商,名叫Level One Robotics andControls。该公司是一家数据管理平台公司,主要提供基于客户原始数据的定制化服务。
其在使用远程数据同步工具rsync处理数据时,备份服务器没有限制使用者的IP地址,让非指定客户端也能连接,并且未设置身份验证等用户访问权限,比如客户端在接收信息前进行身份验证等,因此rsync是可以公开访问的,任何人都能直接通过rsync访问备份服务器,这是这起事件的主要原因。
遭泄露的客户员工数据
该问题由UpGuard安全团队的研究员Chris Vickery于7月9日报告给Level One。10日,LevelOne采取断网脱机的方式,暂时止住了数据库裸露。暴露的信息主要包括客户数据、员工信息及与Level One协议数据三类。
猜猜看,世界上哪来的那么多高拟真的山寨产品?这也许就是原因之一。尽管目前还没有出现这种情况,但要是放任不管,哪天也许你开的名牌超跑有可能是华强北产的哦!
事件2:汽车秒变神奇挖矿机
你听说过汽车挖矿机吗?没错,如果你的车存在漏洞,那黑客就可以用它来做各种各样神奇的事情。
2018年3月,作为“科技巨头”的特斯拉被爆出,其Amazon Web Service(AWS)云端服务器帐号遭到黑客入侵,一系列敏感数据因此外泄。
泄露数据包括:遥测数据、地图信息及车辆维修记录等。更有趣的是,该黑客入侵这些服务器的目的并不单单是获取其敏感数据,还趁机将这些服务器变成挖矿机,用来执行加密虚拟货币挖矿恶意程序。
这起事件中,黑客入侵了Tesla缺乏密码保护的Kubernetes主控台,在某个Kubernetes容器包(Pod)中获取了Tesla的AWS环境下的账户登入凭证。该AWS环境中有一个AmazonS3(Amazon Simple StorageService)储存贮体(Bucket)内含敏感数据(如遥测数据)。随后,黑客进入Tesla的AWS服务器,利用Stratum比特币挖矿协定部署了一个挖矿作业。
目前暂未披露,该挖矿作业具体执行了多久,以及挖了多少虚拟货币。但可以肯定的是,该黑客运用了一些技巧来避开侦测并暗中执行作业,包括将恶意程序隐藏在某个CloudFlare的IP位址背后,以及尽可能压低挖矿时的CPU资源用量等。
智能网联汽车的很多功能都依靠与云服务的大量数据交互来完成,因此,无论对于主机厂,还是服务提供商等,都部署或使用了大量云服务器。这都将成为这些不法分子的潜在攻击对象。
事件3:“自焚”上头的汽车
看了前两个案例,也许会有人说,汽车厂商泄露数据和车主的关联不大,而遇到突发奇想用汽车挖矿的黑客的似乎也不会有太多。那如果,一个人用一台电脑就可以接管整车的控制权,你怕不怕?
先别急着说这种说法过于天马行空,早在几年前,360便证实了这一想法。
2016年5月7日,一名来自美国俄亥俄州的白人男子 Joshua D. Brown,在使用特斯拉Autopilot自动模式时发生事故死亡。
你们猜猜看,当时这位车主经历了什么?
造成这次事故的原因,NHTSA在一份初步报告表示:当时在一个十字路口,特斯拉前面的一辆大型拖车在路口左转,但可能由于拖车高度较高,特斯拉的自动制动系统未能工作。
在这之后,360智能网联汽车安全实验室主任刘健皓对这次的事故进行了分析。他表示,特斯拉通过ADAS功能的Mobileye摄像头、77G毫米波雷达以及车身8个超声波传感器实现自动驾驶的功能。
在事故发生的时候,白色大型拖车左转弯行驶过来的时候,特斯拉的ADAS识别到白色物体,导致图像识别的功能基本丧失:强光打在白色拖车上,白色反光可能使摄像头致盲,识别不到路面车辆。
白色拖车的高度过高可能也是导致这起事故的原因之一。拖车的高度高于毫米波雷达的探测距离,导致毫米波雷达没有检测到前方有障碍物。
据刘健皓透露,特斯拉自动驾驶7.1版本能够识别箱式货车。当时这辆白色拖车可能在行驶过程中车头与车厢的间隙太大,特斯拉的传感器无法识别对相向而来或从侧面拐弯过来的拖车,只能识别到前方车头,最终导致毫米波雷达在输出结果上出现问题。
自动驾驶有两大类:一个是感知,一个是控制。前者依赖于传感器,但是存在技术盲区,比如摄像头,可能有强光对它造成致盲,或者其他光学攻击让图像识别的功能丧失。毫米波雷达和超声波也可以通过其他方式对他们进行干扰,造成自动驾驶数据的不可靠,从而反向造成车辆控制的不可靠,最终造成交通事故。
与之类似的攻击事件频频出现,汽车安全问题已经超出了传统车厂的认知范围,安全厂商的出面协助就显得尤为重要。
如何保证网联车安全?
这些汽车,显然都不是车主们通常认知的种类,之所以让黑客有机可乘,是因为它们全部都是网联车产品。
智能网联车的中控系统作为整车的“大脑”部分,亦是最脆弱的地方。通过应用漏洞、系统漏洞、网络攻击、OTA攻击等方式,黑客可以远程控制网联车系统,甚至影响动力系统的正常运行。
正所谓“铁血也柔情”,人们常说汽车的出现彻底解放了马儿,而网联车系统的出现,也让让这匹“铁马”有了脱缰放荡一回的机会。
当电影桥段变成现实,安全厂商正在努力为汽车构建一个坚不可摧的网络安堡垒。
比如,车载娱乐系统。
你还记得被绑在座椅后面,很少被人关注到的那台小显示器吗?那个,就是车载娱乐设备。控制它的,是整个车载娱乐系统。
去年8月份,安全厂商Zingbox在一项测试中成功入侵了一辆汽车的车载信息娱乐系统,并反编译其主要部件,以确认车载操作系统是否会感染恶意软件,并证明特洛伊木马能否通过短信来实现远程操控。
试想,如果做上述事情的是黑客,他会做什么呢?也许通过反编译部件让你的车窗锁死,然后控制显示器,在上面写出几个大字:掏出所有财务放在后备箱,然后把车开到XXX地点......
为了解决此类问题,360智能网联汽车安全实验室推出了360车机管家作为车载娱乐系统(汽车中控)的“安全卫士”,恰好充当了网络安全罩的这一角色。
正如其名,该系统被装载在安卓系统为运行环境的车载娱乐系统设备中,通过云端安全运营平台支撑,为车企提供车机安全管控能力,保护开放生态环境下的车载娱乐系统的安全。
该系统目前可实现功能如下:
智能防护:自动识别恶意程序,拦截白名单以外软件安装,保护应用生态安全
防ROOT:防止黑客利用漏洞对系统ROOT
流量检测:实时监控车机流量,防止流量偷跑,阻止异常
一键优化:快速优化系统进程、空间,提升系统响应速度,释放系统压力
存储管理:深度查找全盘并提供清理,释放空间
未来:汽车也要会“悬崖勒马”
尽管网联车的发展给了黑客机会,让原本“老实巴交”的汽车变得不再听从车主指令,更甚者还要“谋反篡位”,然而,我们不可否认,汽车的智能化、网联化为整个行业的后10年发展奠定了基石,而网联车安全的解决方案,无疑是加固这基石的一针强心剂。
随着5G时代的到来,工业互联网、车联网和物联网的发展将越发向着从物理世界映射到网络空间的步伐前进,这会对网络安全提出更大的挑战。
但办法总比困难多,以360解决方案为例,一方面通过安全大脑等一些列安全中枢,实现核心的动态防护能力做到整体防御;另一方面,有效利用边缘计算的能力,制定场景化针对性强的分布式防护方案;二者整合形成整套安全防御体系。
作为产业互联网的一部分,智能网联车只是传统行业基于互联网技术和生态,对各个垂直产业的产业链和内部的价值链进行重塑和改造的开始。
一边是转型升级,另一边是漏洞风险,网联车安全的未来何去何从?还是要看我们的安全厂商们能“炼出”哪些趁手兵刃呀!
推荐系统
电脑公司Ghost Win8.1 x32 精选纯净版2022年7月(免激活) ISO镜像高速下载
语言:中文版系统大小:2.98GB系统类型:Win8电脑公司Ghost Win8.1x32位纯净版V2022年7月版本集成了自2022流行的各种硬件驱动,首次进入系统即全部硬件已安装完毕。电脑公司Ghost Win8.1x32位纯净版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,精心挑选的系统维护工具,加上绿茶独有
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
相关文章
- 皮皮点播影片时提示“网络连接失败”解决方法
- Web安全:端口扫描工具
- 魅族“不相信”什么?
- Microsoft Authenticator为移动设备增添了密码自动填写功能
- 电脑QQ与其他软件热键冲突如何处理?
- 因出售全球数百家企业网络访问权,Fxmsp黑客遭起诉
- 新手学会从盲点下手排除网络故障
- 风控模型共享如何打掉黑产?
- windowsXP桌面exe快捷方式文件无法运行
- 如何解决两因素和多因素身份验证的大问题
- 什么是网络唤醒功能
- 专栏
- 对2019年各个国家0 day漏洞使用情况的介绍
- 藏在win10设置中的清理工具
- 个人信息失守,还有哪些“内鬼”
- Win7提示“无法访问您可能没有权限使用网络资源”如何解决?
- 电脑中毒后如何杀毒
- Ulimit的坑,让我的故障一波又一波
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1深度技术Ghost Win7 Sp1 电脑城万能装机版2020年4月(32位) ISO高速下载
- 2番茄花园Ghost Win10 深度装机版64位 v2023.01最新下载
- 3深度技术Ghost Win8.1 x32位 特别纯净版2020年5月(免激活) ISO镜像高速下载
- 4萝卜家园Ghost Win10 专业版64位 v2023.07最新免费下载
- 5深度技术 GHOST WIN10 X64 快速安装版 V2020.07 下载
- 6番茄花园 GHOST WIN7 32位官方旗舰版_番茄花园WIN7原版系统iso镜像下载V2023.02
- 7电脑公司Ghost win11 64位 免激活版 v2023最新下载
- 8风林火山 Win11 64位正式版下载_风林火山 Ghost Win11 官方专业版ios镜像下载
- 9新萝卜家园 Ghost XP SP3系统 电脑城极速纯净版 2022年4月 ISO镜像高速下载
- 10windows7 32位简体中文旗舰版 v2019.05免费版下载