E安全4月17日讯 过去几年，汽车联网技术市场获得长足发展，这种技术还会继续不断发展。然而，汽车联网用户也面临潜在威胁，因为黑客可以利用其中的漏洞远程关闭目标车辆引擎。

据外媒报道，以色列网络安全公司Argus在检验过程当中发现了博世的Drivelog Connector电子狗和与之相适配的App之间存在漏洞，并于上周四演示了如何通过蓝牙连接轻易入侵使用博世Drivelog Connector OBD-II电子狗（Dongle）的汽车。这个安全漏洞出现在Drivelog Connect 1.1.1及其更低的版本，以及Dongle固件4.8.0至4.9.2。

何为电子狗？

电子狗又称驾驶安全预警仪，是一种车载装置，由硬件系统和软件系统所组成，包括雷达、GPS定位、中央处理器和智能测速预警系统。主要是利用GPS卫星定位及雷达信号检索，提前提醒车主电子眼或测速雷达等测速设备的存在，防止因为超速等违规而被罚款和扣分。它分为普通电子狗、智能电子狗、云电子狗等。在某些国家，这款设备由保险公司，或由希望推出车内Wi-Fi的汽车制造商安装。

两大漏洞影响汽车安全

在研究中，Argus公司使用了一款通过蓝牙连接车辆的设备Drivelog Connector，帮助检查车辆健康状况、追踪里程等。并通过演示“闯过安全系统的服务ID限制”，证明了在这之后黑客能执行哪些操作。

研究人员发现两个漏洞：

• Drivelog Connector 电子狗和Drivelog Connect智能手机应用程序之间的认证过程存在信息泄露漏洞

• Drivelog Connector电子狗中的消息过滤器存在安全漏洞

信息泄露漏洞允许研究人员快速暴力破解PIN码，并通过蓝牙功能连接到电子狗。一旦连接到电子狗，消息过滤器中的安全漏洞就允许他们在车辆CAN总线中注入恶意代码。之后他们便能够在蓝牙范围内关闭移动车辆的引擎。由于研究人员可以使用这款电子狗将恶意代码注入到CAN总线，那么进一步控制网络中的其它ECU（电子控制单元）也是有可能实现的。如果攻击者大肆利用这种攻击方法，可能会对大多数车辆进行物理控制。

虽然Argus未披露存在漏洞的汽车型号，但该公司透露，任何蓝牙启用Drivelog Connector电子狗和Wi-Fi连接的车辆都易于遭受攻击。

新型安全系统成熟度欠缺

Argus研究团队负责人阿米·沙莱夫称，汽车中的现有新型安全系统、但不成熟。汽车安全措施中的新型防火墙成熟度欠缺。

虽然入侵实验在受控环境下进行，但Argus研究人员认为，同样的攻击可能对任何汽车都奏效。

Drivelog制造商罗伯特-博世表示，已经采取临时措施应对该安全威胁，他们目前正在研究永久的解决方案。博世团队负责人索斯滕-库尔斯表示，修复加密协议潜在漏洞的补丁很快将会发布，此补丁将防止Argus所描述的这类攻击。

据悉，特斯拉、通用和FCA都推出了“漏洞奖励”项目，向发现或报告其汽车或网站存在漏洞的黑客给予奖励。而在2015年，多家车企与供应商组建了一个汽车信息共享和分析中心，以期共同应对汽车网络安全问题。

相关阅读：

速度与激情8：保卫世界和平与网络安全面临的威胁

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。