查看原文
其他

速度与激情8汽车被控制已成现实 黑客利用博世电子狗漏洞可控制汽车引擎

2017-04-17 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全4月17日讯 过去几年,汽车联网技术市场获得长足发展,这种技术还会继续不断发展。然而,汽车联网用户也面临潜在威胁,因为黑客可以利用其中的漏洞远程关闭目标车辆引擎。

据外媒报道,以色列网络安全公司Argus在检验过程当中发现了博世的Drivelog Connector电子狗和与之相适配的App之间存在漏洞,并于上周四演示了如何通过蓝牙连接轻易入侵使用博世Drivelog Connector OBD-II电子狗(Dongle)的汽车。这个安全漏洞出现在Drivelog Connect 1.1.1及其更低的版本,以及Dongle固件4.8.0至4.9.2。

何为电子狗?

电子狗又称驾驶安全预警仪,是一种车载装置,由硬件系统和软件系统所组成,包括雷达、GPS定位、中央处理器和智能测速预警系统。主要是利用GPS卫星定位及雷达信号检索,提前提醒车主电子眼或测速雷达等测速设备的存在,防止因为超速等违规而被罚款和扣分。它分为普通电子狗、智能电子狗、云电子狗等。在某些国家,这款设备由保险公司,或由希望推出车内Wi-Fi的汽车制造商安装。

两大漏洞影响汽车安全

在研究中,Argus公司使用了一款通过蓝牙连接车辆的设备Drivelog Connector,帮助检查车辆健康状况、追踪里程等。并通过演示“闯过安全系统的服务ID限制”,证明了在这之后黑客能执行哪些操作。

研究人员发现两个漏洞

  • Drivelog Connector 电子狗和Drivelog Connect智能手机应用程序之间的认证过程存在信息泄露漏洞

  • Drivelog Connector电子狗中的消息过滤器存在安全漏洞

信息泄露漏洞允许研究人员快速暴力破解PIN码,并通过蓝牙功能连接到电子狗。一旦连接到电子狗,消息过滤器中的安全漏洞就允许他们在车辆CAN总线中注入恶意代码。之后他们便能够在蓝牙范围内关闭移动车辆的引擎。由于研究人员可以使用这款电子狗将恶意代码注入到CAN总线,那么进一步控制网络中的其它ECU(电子控制单元)也是有可能实现的。如果攻击者大肆利用这种攻击方法,可能会对大多数车辆进行物理控制。

虽然Argus未披露存在漏洞的汽车型号,但该公司透露,任何蓝牙启用Drivelog Connector电子狗和Wi-Fi连接的车辆都易于遭受攻击。

新型安全系统成熟度欠缺

Argus研究团队负责人阿米·沙莱夫称,汽车中的现有新型安全系统、但不成熟。汽车安全措施中的新型防火墙成熟度欠缺。

虽然入侵实验在受控环境下进行,但Argus研究人员认为,同样的攻击可能对任何汽车都奏效。

Drivelog制造商罗伯特-博世表示,已经采取临时措施应对该安全威胁,他们目前正在研究永久的解决方案。博世团队负责人索斯滕-库尔斯表示,修复加密协议潜在漏洞的补丁很快将会发布,此补丁将防止Argus所描述的这类攻击。

据悉,特斯拉、通用和FCA都推出了“漏洞奖励”项目,向发现或报告其汽车或网站存在漏洞的黑客给予奖励。而在2015年,多家车企与供应商组建了一个汽车信息共享和分析中心,以期共同应对汽车网络安全问题。

相关阅读:

速度与激情8:保卫世界和平与网络安全面临的威胁

今日头条E安全官网www.easyaq.com(04/17)
01如何识别境外间谍组织?你需要了解他们的四大惯用伎俩
02上亿条优酷账户数据或被国外黑客窃取 2000元就能在暗网买到
03速度与激情8汽车被控制已成现实  黑客利用博世电子狗漏洞可控制汽车引擎
04黑客组织Callisto利用Hacking Team工具攻击政府  或有更大计划
057亿余条个人信息泄露 警方查获2名网络黑客 370G电子数据
06众包组织暴力破解比特币钱包 已成功打开十多个
07CNVD发布被影子经济人曝光漏洞风险公

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存