最近发生了几起汽车黑客示威活动,其中最引人注目的一起是黑客对一辆吉普切诺基发动的攻击控制从几英里外看到那辆车。
黑客入侵了吉普切诺基的车载信息娱乐系统,进入了车辆的刹车和转向系统,导致了召回命令涉及140万辆车,还有可能一起集体诉讼诉讼.
然而,新的研究表明,黑客甚至可以更容易地通过连接互联网的、可能不安全的保险黑匣子控制车辆。
加州大学圣地亚哥分校的研究人员揭示了在USENIX安全会议上,他们能够通过插入汽车和卡车仪表板上的小型设备无线入侵数千辆汽车,保险公司和卡车运输公司可以跟踪车辆的位置和速度。
通过向连接到Corvette的一个设备发送短信,研究人员能够向车辆的CAN总线发送命令,CAN总线是控制汽车所有物理驾驶组件的内部系统。研究人员能够打开汽车的雨刷,并启用或禁用其制动系统。
据领导这项研究的加州大学圣地亚哥分校计算机安全教授斯蒂芬·萨维奇(Stefan Savage)说,该团队获得了几台这种设备。通过对它们进行逆向工程,该团队发现了几个安全问题,可以为黑客提供多种方法来远程控制设备连接的汽车。
研究人员发布了一段视频,展示了在一艘轻型巡洋舰上使用这些方法进行的一系列攻击。虽然研究团队表示,启用和禁用车辆的刹车只有在汽车低速行驶时才会起作用,但研究人员表示,针对不同类型的现代车辆,调整这些方法并接管其他关键系统,如转向、锁和传动系统,将很容易。
被攻击的设备是法国移动设备公司生产的OBD2加密狗,由保险初创公司Metromile等公司分销。Metromile公司将该设备命名为“Metromile Pulse”,并将其安装在车辆的仪表盘上,以每英里为单位向车主收取保险费用。
虽然在接到加州大学圣地亚哥分校研究人员的通知后,Metromile已经发布了一个安全补丁来修复设备的漏洞,但研究人员声称,如果问题持续存在,则会出现在不同位置的移动设备的不安全硬件中。
此外,这一问题不仅局限于移动设备或Metromile,也不仅仅局限于Corvette,因为许多公司都在不同制造商的车辆上安装了类似的不安全且可被黑客攻击的设备。
图片:Michael Gil |Flickr