图:欧洲刑警组织缴获的黑客设备

前情回顾·智能汽车网络威胁态势

安全内参10月19日消息,欧洲执法机构本周一宣布,欧洲刑警组织刚刚捣毁了一个专门入侵汽车无钥匙解锁系统的黑客团伙,逮捕31名嫌疑人并没收超过100万美元(约人民币775万元)的犯罪资产。

欧洲刑警组织称,“该犯罪团伙专门以支持无钥匙进入及启动系统的车辆为目标,滥用该技术将汽车开走。他们使用的欺诈工具原本被作为汽车诊断解决方案销售,可用于替换车辆的原始软件,能够在未拿到车钥匙的情况下打开车门并启动点火装置。”

专家指出,针对无钥匙车辆的盗窃难度甚至比传统偷车方法更低,毕竟传统偷车贼还要学习仿配机械钥匙和对线打火的技术。而且除盗窃之外,还有其他网络威胁在对汽车虎视眈眈。2015年,已经有安全研究人员成功以远程方式令行驶在高速公路上的吉普车(Jeep)熄火。

在这个联网程度日益提升的行业中,电动汽车与自动驾驶汽车正逐渐拓展更大的商业版图。由于政府尚未做出明确要求,由此引发的安全风险在短时间内恐怕不会消退。(据估计,去年全美公路上共行驶着8400万辆联网汽车。)

网络安全公司ExtraHop服务主管Rafal Los表示,“如今的汽车正逐渐发展成带轮子的计算机,因此来自攻击方的威胁也愈发严峻。”

当然,也已经有人在采取应对措施。网络专家表示,在里程碑式的Jeep黑客事件之后,汽车行业已经着手改善车辆的网络安全水平。美国国家公路交通安全管理局在9月还更新了2016年发布的关于车辆网络安全的指南。当然,专家们也承认单凭这些还远远不够。

盗窃狂潮

由于各地执法部门向FBI提交的数据减少,全美犯罪统计数据的可靠性已经大不如前,但仍有迹象表明,近年来汽车盗窃案件有所增加。

今年7月,参议员Edward J. Markey曾给汽车制造商写信道,“自1990年代以来,允许用户无需机械钥匙即可打开车门、启动车辆的无钥匙进入系统曾经是降低车辆盗窃率的利器。但在随后的30年中,情况开始急转直下。虽然引发这种转变的确切原因尚不明确,但越来越多的证据表明,无钥匙进入系统可能正是导致情况恶化的一项因素。”

不过,行业组织汽车创新联盟对Markey的说法回应称,无钥匙系统其实增强了安全水平。该行业组织还赞扬了其他围绕无钥匙设计的安全措施,例如允许车主手动停用遥控钥匙功能。

联盟事务副总裁Garrick Francis写道,“缓解盗窃问题是一项需要持续推进的努力,而规定性要求通常是创新探索的障碍。汽车制造商在设计、评估和实施无钥匙进入系统的安全功能时,必须拥有充分的灵活性,这样汽车行业才能快速响应种种可能影响车主的新问题。”

尽管如此,研究人员已经用实例反复证明了,自己成功入侵车辆、开启发动机的能力,近几个月来特斯拉、本田汽车均已相继沦陷

CanBusHack公司总裁兼Def Con安全大会Car Hacking Village创始人Robert Leale表示,“有些汽车公司的安全措施简直可笑。只要想办法入侵了一辆车,往往就能入侵同品牌旗下的所有车型。”

直接熄火

远程熄火引发的危险后果无疑更加令人心惊。虽然发生频率相对较低,或者单纯发生在实验环境下,但却直接关乎使用者的生命安全:

  • 一名心怀不满的前得克萨斯汽车中心雇员,据称曾在2010年利用收回软件远程禁用了100多名司机的车辆。

  • 在2015年的黑客攻击中,研究人员成功切断了Jeep汽车的变速箱和刹车,开启收音机并打开了前雨刷器。此次事件也让克莱斯勒公司首次、也是唯一一次以网络安全为由召回了140万辆汽车。同一批研究人员还在召回之后再次尝试黑客攻击,旨在进一步做出漏洞验证。

  • 前白宫网络官员Richard Clarke表示,2013年记者Michael Hastings的死亡“很可能与汽车网络攻击有关”,但验尸官的报告和Hastings家人的证词排除了这种可能性。

行动了,但没完全行动

虽然联合国和欧洲已经着力推进关于车辆的网络安全规则,但美国在这方面却一直表现得比较迟钝。去年,两党基础设施法案确实引入了一项要求联邦公路管理局设立网络安全协调员的规定。白宫方面本月还启动一项为安全“物联网”设备添加标签的倡议,但先期主要针对路由器和摄像头。

Leale称,目前汽车制造商还没有充分的经济动力,去主动实施防盗措施

“他们通常不想增加成本,并且盗窃对汽车厂商其实没什么影响。此类事件影响到的更多是用户和保险公司。”

草根数字安全倡议I Am the Cavalry创始人Joshua Corman表示,他们曾经在2014年推出过汽车网络安全的“五星级”计划,其中一些已经得到业界接纳,例如为上报bug的研究人员提供激励措施。

网络安全厂商Claroty的网络和物理安全副总裁Corman表示,“当我们发布这项「五星级」计划时,还没有任何一家汽车厂商能够满足全部五点要求。而且时至今日,仍然没有哪家厂商能够满足全部五点要求。所以现在的问题是,我们能是否能拿出充分的政治意愿,采取足够积极的行动来适应这种威胁形势?”

参考资料:https://www.washingtonpost.com/politics/2022/10/18/cars-face-cyber-threats-too/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。