美国菲亚特克莱斯勒召回140万辆汽车,网络安全漏洞威胁生命安全
图为美国网络安全专家在实验中远程控制吉普车
新华网北京7月27日电 据新华社“新华国际”客户端报道,美国菲亚特克莱斯勒汽车公司召回140万辆存在黑客攻击风险的汽车,这被网络安全专家视为“大事”。随着计算机和网络技术的应用,汽车变得越来越智能,但也容易受到黑客攻击。
用科罗拉多州安全公司 LogRhythm 首席信息安全官 James Caddell 的话说,与普遍认可的“危害知识产权的黑客攻击”不同,此次发现的汽车网络安全漏洞与“140 万人面临风险”有关。 ”生活”。
这个“危及生命的事情”到底是什么意思呢?如果你听说过时下越来越流行的“物联网”这个新名词,那么看看新华国际客户端接下来给出的例子,你可能会有更好的理解。
[方法不仅仅是“劫持”汽车]
图为进行“黑客”切诺基吉普车实验的美国网络安全专家查理·米勒。
第一个要举的例子当然是这次汽车召回的直接触发因素——美国网络安全专家查理·米勒和克里斯·瓦拉塞克“黑客”一辆切诺基吉普车的实验。两人利用家里的笔记本电脑,通过联网的娱乐系统侵入了吉普车的电子系统,远程控制车速,操作空调、雨刷、收音机等设备,甚至“把车开进沟里”。
米勒和瓦拉塞克认为,吉普车上的互联网连接功能是黑客的理想漏洞。只要找到车辆的IP地址并侵入系统,就可以“劫持”车辆。菲亚特克莱斯勒汽车产量为 471,000 辆。所有汽车都有这个漏洞。
图为:克里斯·瓦拉塞克
事实上,据新华国际客户端报道,黑客并不一定要“劫持”汽车或造成车祸。他们还可能通过其他手段,例如利用汽车导航系统追踪车主行踪、远程控制车内麦克风等,给车主带来麻烦和损失。记录车主谈话等
网络安全研究人员表示,曾有窃贼利用无线电信号解锁和盗窃汽车的案例。未来可能的手段包括:黑客在汽车中植入恶意软件,导致发动机故障来勒索车主;或者使用所谓的“车联网”,将车辆与其周围环境连接起来,以改善交通状况并防止车辆碰撞。凭借先进的无线连接技术,每一辆过往的汽车都可能被入侵或感染病毒。
【目标不限于汽车】
时下流行的概念“物联网”
既然谈论“车联网”,我们不妨看看更广泛的“物联网”。新华国际客户端了解到,汽车作为物联网的重要组成部分,是黑客青睐的攻击目标,但可能成为攻击目标的显然不仅仅是汽车。
2008年,波兰一名14岁男孩使用改装的电视遥控器控制波兰第三大城市罗兹的有轨电车系统,导致多辆有轨电车脱轨并造成人员受伤。
2010年,位于德克萨斯州奥斯汀市的一家汽车经销商德州汽车中心收到了大量客户关于车辆故障的投诉,其中包括半夜无故鸣喇叭、车辆无法启动等。调查发现,“德克萨斯汽车中心”的一名前员工远程入侵了经销商的计算机系统,通过他与车辆之间的联网设备远程控制车辆。这位20岁男子的动机其实是为了发泄对被解雇的不满。
2011年,三名美国网络安全研究人员宣布,他们成功侵入了用于控制监狱门的网络系统,并能够随意远程打开和关闭这些门。他们还发现许多其他机械控制系统也有类似的弱点。
图为萨米·卡姆卡尔演示无人机“劫持”技术的视频截图
无人机也是黑客感兴趣的目标。 2011年伊朗俘获美国RQ-170“哨兵”无人侦察机时,据称伊朗网络专家远程控制了该机的操作系统。 2013年,美国知名黑客萨米·卡姆卡尔(Sami Kamkar)在YouTube网站上发布了一段视频,展示了他如何使用一种名为SkyJack的技术,让一架基本的民用无人机能够定位并控制其在附近飞行。其他无人机组成由智能手机控制的“僵尸无人机舰队”。
在物联网意义上造成“物质损失”的重大网络攻击中,针对伊朗核设施的“震网”病毒攻击就是一个典型案例。计算机专家确定,这次袭击导致核电站离心机因速度损失而受损,从而大大推迟了伊朗的核计划。
此外,2007年,时任美国副总统迪克·切尼心脏病发作,疑似其除颤器的无线连接功能被刺客利用。这被视为物联网攻击造成人身伤害的可能案例之一。
【物联网的“命运”? 】
专家预测2020年物联网将发生什么
《华盛顿邮报》报道称,2010年全球联网设备数量为20亿台,预计到2020年这一数字将激增至250亿台。网络专家认为,随着越来越多的联网设备和技术变得越来越流行,“黑客攻击”物联网是一个“不可避免”的问题。新华社国际客户端了解到,一些专家甚至将物联网戏称为“攻击目标网络”。
原因在于互联网本身“不安全”:现在的互联网是基于几十年前诞生的技术,当时“黑客”、“网络安全”等概念甚至还不存在。基于这种“有缺陷”的技术,有效的安全措施很难跟上大量设备的高度互联。
以汽车为例:目前市场上的汽车不再只是交通工具,而是“车轮上的电脑”,各种系统内外互联。遥控钥匙、卫星收音机、远程信息处理组件、蓝牙连接、仪表板联网、无线胎压监测等功能将汽车与外界连接起来,也可能成为黑客攻击的突破点。在汽车内部,各个系统相互连接,使得外部攻击能够有穿过系统的路径。然而,系统之间的通信仍然依赖于 20 世纪 80 年代创建的计算机协议,并且不具备“验证”消息来源的能力。
图为帕特·扎泰克
美国国防高级研究计划局前网络安全研究负责人帕特·扎泰克表示,上述汽车系统的整体安全性“可能比当前(计算机)操作系统的安全状况落后15年或20年。 ”
福特汽车公司前技术专家约翰·埃利斯表示,物联网连接和新功能的增长速度远快于针对攻击的有效预防措施的增长速度,而汽车制造业较长的研发周期已经导致物联网连接和新功能的增长速度远远超过针对攻击的有效预防措施的增长速度。导致汽车网络安全漏洞的填补。或者用新模型替换易受攻击的模型既耗时又困难。
[“这不是车的问题”]
Miller 和 Valasek 于 2011 年受 Zatek 委托开始汽车网络安全研究。新华国际客户端了解到,除了吉普切诺基之外,他们研究的车型还包括丰田“普锐斯”和福特“翼虎”。据他们统计,近年来汽车中计算机系统的数量持续增加。 2006 年版普锐斯包含 23 个计算机系统,而 2014 年版则包含 40 个。
近年来,汽车中包含的计算机系统的数量持续增加
随着汽车制造商竞相开发自动驾驶汽车,这种势头预计将加速。
事实上,一些“老车型”还通过车载自动诊断系统(OBD)接口添加了无线连接设备,加入“物联网”。
然而,如果汽车的防黑客措施真像专家所说的那么缺乏,那岂不是意味着越先进的汽车就越危险呢?
美国塔夫茨大学计算机科学教授、网络安全研究员凯瑟琳·费舍尔认为,虽然汽车制造商面临计算机协议过时且有缺陷的技术困境,但如果投入更多时间和资源开发安全措施,汽车将进一步网络安全的改进“在技术上是可能的”。
不过,她指出,技术研发能否实现,取决于汽车制造商是否有足够的“商业动机”。 “他们(制造商)都担心安全,但他们无法独自承担(研发费用)。”
图为:约翰·埃利斯
埃利斯认为,计算机软件制造商作为汽车制造商的上游供应商,应该开发安全软件并对其进行维护和更新,但现有的商业模式并没有给他们这样做的动力。 “这不是汽车问题,而是软件和商业模式问题。” (记者高杰、编辑张伟、新华国际客户端报道)