欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  科技

车联网最大的安全隐患在后台!

程序员文章站 2022-03-15 19:13:32
2014年6月20日,凤凰汽车曾经撰文称: 克莱斯勒Uconnect可以说是迄今为止最优秀的车载信息系统。它界面简洁明快,信息列表井然有序,触摸屏相应迅速,堪称完美。如今,这套 最优秀 的车联网系统,...

2014年6月20日,凤凰汽车曾经撰文称: 克莱斯勒Uconnect可以说是迄今为止最优秀的车载信息系统。它界面简洁明快,信息列表井然有序,触摸屏相应迅速,堪称完美。

如今,这套 最优秀 的车联网系统,在两个美国黑客手中变成了一坨屎。 最优秀 的车联网系统尚且如此,其余的 不太优秀 的车联网系统又当如何?

谁说只有具备总线控制功能的车联网才不会被黑?

不久前,这两个美国黑客利用无线网络,成功接管了一款吉普*光的控制权,让司机在道路上突然失去对车辆的控制 这件事直接导致菲亚特-克莱斯勒集团*召回约140万辆汽车。

这事还没完,根据这两名黑客的 良心供述 ,吉普*光是最容易被远程骇入的车型,然后就是凯迪拉克凯雷德和英菲尼迪Q50。

内心也如此脆弱,不太应该啊

凯雷德和Q50搭载的车联网系统分别是安吉星和InTouch。

和一般的以 娱乐为主 的车联网不同的是,这两套车联网系统和整车的结合度非常高,均不同程度地具备一定的总线控制功能,例如开启车门和控制空调等等。

但是这并不是说,那些以 娱乐为主 的车联网就可以高枕无忧了。

早在2013年初的时候,一名中国黑客就曾经向我透露,自己曾经受雇于某车企,攻击竞争车型所搭载的车联网终端,目的是影响顾客使用感受。换句话说,车联网被黑并非新鲜事。

好在当时被攻击的车联网不具备基本总线控制功能,因此对行车安全没有根本影响。

克莱斯勒Uconnect系统基于QNX嵌入式实时操作系统开发,接口开放程度以及功能拓展相当灵活,但如此也带来了很大的安全隐患。

不得不承认,这两名美国黑客的技术水平很高,中国黑客对于车联网后台的攻击,更多的是采用过量访问的方式导致服务器瘫痪,而不是像两名美国黑客那样取得最终的后台控制权。

此前传统的认识是,黑客的电脑必须与车上的OBD接口连接才能实施对车辆的总线控制。

而越来越发达的车联网技术,却有意无意地将车辆总线裸露在网络之中,大多数车厂都没有意识到这种危险,大多数车联网对此也抱着一种侥幸心理。

车联网最大的安全隐患在后台!

*光被黑事件曝光后,克莱斯勒立即发布了Uconnect系统升级的补救办法,但只能通过USB数据连接进行升级,不能通过无线网络自动升级。

这说明Uconnect本次升级很可能针对的是终端BIOS,因为如果仅仅是系统刷机的话,通过无线网络以及储存卡亦可实现。

高逼格的英菲尼迪InTouch系统很可怜,原本以为初生牛犊不怕虎,练就一身金钟罩铁布衫,没想到被两个美国黑客一把抓到了命门

不过这并不是说两名黑客攻击的是终端BIOS硬件,因为两名黑客所接管的车辆控制权 包括对油门和刹车的控制,都是Uconnect系统的后台设计功能。

黑客攻击的是Uconnect后台,而克莱斯勒只需要对系统后台进行升级即可,升级终端硬件貌似另有隐情。(这些 隐情 很可能就是终端的问题,据推测,两名黑客可能是和克莱斯勒达成了某些协议,没有将其曝光。)

此外还有一种可能,就是克莱斯勒为了隐瞒Uconnect系统后台沦陷的事实,借机转移公众注意力,让消费者认为通过终端升级可以解决问题。

通用安吉星在面对黑客攻击时呈现出奇怪的差异化表现,除了凯雷德,其余通用车型上的安吉星系统尚显安全,这对于通用而言其实是一个很大的财富,通过系统比对不难找出 黑客抗体 。

和搭载英菲尼迪InTouch系统的,目前仅有Q50这一款车不同,通用旗下搭载安吉星系统的却不止凯雷德这一款车。

那么为何只有凯雷德容易遭受车联网攻击?

我的分析是,同品牌旗下的不同车型,在总线设计上存在差异,因此车联网的支持系统也存在差异 这就好比两台不同配置的电脑装的都是Windows 8系统,但系统盘数据却不一样,不能互相拷贝,黑客能骇入A电脑,不见得可以骇入B电脑。

所以,黑客搞定了凯雷德,却无法搞定同样搭载安吉星的别克君越。这对于通用而言其实是一个很大的财富,因为系统存在明显的差异化表现,通过系统比对就不难找出 黑客抗体 ,进而得出有效的系统升级方案。