从上周五一直延续至今的wannacry勒索病毒似乎还没有要消停的意思,反而衍生出了升级版,现在俄罗斯和英国已经成了重灾区。黑客入侵个人电脑你听多了,那你听说过黑客还能远程控制汽车吗? 这篇文章就来跟你聊聊这看似悬乎的事情。
不知道大家还记得十多年前的“熊猫烧香”网络病毒吗?而最近全球近百个国家和地区的部分电脑系统再次遭到了一个名为WannaCry(想哭)的病毒攻击。这是一款勒索病毒,对于被攻击的电脑,病毒发布者要求用户支付一定的 比特币 后才可以恢复电脑正常使用。
而上周末的F1西班牙站中,已有车手中招:F1车手维斯塔潘排位赛时方向盘遭比特币病毒袭……所幸车队立刻为其支付了赎金,完成了排位赛。据悉,西班牙警方正介入调查。23333333
在光天化日之下,就这样向全世界要钱,这些黑客真的那么厉害能“上天入地”吗?且给你们说完下面这个故事,然后再来讨论这个问题。
前段时间上映的《速8》里出现了这样不可思议的镜头,正在飞机上的的女黑客Cipher通过手中的电脑便实现了对地面上成千上万辆汽车的控制。这个场面在当前看来是有些夸张,然而现实生活中用电脑控制汽车也早已不是什么新鲜事儿了。
在2013年的时候,美国的两名黑客米勒和瓦拉塞克就实现了对福特Escape和丰田普锐斯的车载系统入侵,当时他们在车内将个人电脑通过数据线与汽车的故障诊断端口连接,从而在个人电脑上就能使汽车刹车失灵,同时不断鸣喇叭、收紧安全带还有控制转向。而两年后他们已经升级至无线连接方式,在车外就能通过电脑控制车子。
在2015年的时候,美国《连线》杂志用大篇幅报道了这两名黑客通过软件,远程向一辆行驶在行驶中的吉普切诺基上的Uconnect车载系统发送指令,从而启动车上各种功能的危险事件。而就在当年的7月24日,吉普品牌的东家菲亚特克莱斯勒汽车集团不得不宣布,召回约140万辆存在软件漏洞的汽车。那是全球首例因为黑客风险而召回汽车的事件。
《汽车黑客大曝光》一书,按书中的说法,汽车黑客可实现远程接管车辆、使车辆停车、偷窃车辆等行为。那么乍一看这汽车是真的就毁于黑客的手下了么?其实别慌,还没有那么耸人听闻。因为这些黑客想要控制您的汽车那真是太难了,可以说发生这事儿的的概率非常小。一方面具备这个能力的人少之又少,就例如那些能够黑进银行系统的黑客,不是想黑就能黑的呀!
另一方面随着现在汽车车载网络系统的发展与广泛应用,汽车厂商也会注意到这方面的安全。还有黑客如果想实现远程控制,那首先得满足一定条件,最好就是你的汽车有自动泊车或自动驾驶功能,要不然你汽车上的机械部件起码可通过电子系统控制且车载系统可联网等等。
最后就是如果有黑客真能这么干而且造成财产损失或人身安全,那相关执法部门即使挖地三尺也不会放过他的。
回到刚才的问题,黑客真的可以“上天入地”、“无所不能”吗?也许有时候确实是蛮厉害的,但要想达到这个高度,做世界级的段位,估计一般人也很难做到。更何况这试错成本这么高,真正有技术的黑客对这个问题也会再三思量的。而截至到发文为止,目前已有两家汽车(雷诺、日产)受到波及,导致工厂停工。
汽车黑客带来的威胁
安全性是车联网发展道路上的重中之重,我们不应只看到车联网带来的高效与便捷,更应重视其随时可能带来的危险。
目前车联网安全面临着六大威胁,即未经授权的物理访问、个人信息盗取、远程控制、互联网攻击、敲诈勒索以及制造假象。而车载通讯系统是车联网安全的“高危地带”。
-
未经授权的物理访问
这种威胁最简单也最常见,因为大多数汽车全部使用无钥匙进入和一键启动替代了传统的钥匙和点火系统,主要利用无钥匙或者手机蓝牙进行控制。
威胁:可以利用链接中的漏洞,直接获取访问
概率:高
影响:车辆丢失概率增加;取证难度大
-
个人信息盗取
用户在使用车辆过程中,会在车载计算机中存储个人信息,由于通讯接口的增加,攻击者就可以通过通讯接口植入恶意程序,盗取这些个人信息,获取与车辆有关的人员的行为模式,攻击制造商云端,获取车辆相关信息。
威胁:个人信息和车辆信息被盗窃,增加骚扰与诈骗概率
概率:高
影响:云存储模式下,攻击者可以从云端获取个人以及车辆信息;本地存储的模式下,攻击者可以通过植入恶意代码获取个人信息。
-
远程控制
攻击者获取车辆控制权,远程控制车辆
威胁:获取车辆控制权之后,发送恶意指令,威胁交通安全以及伤害驾乘人员
概率:中
影响:远程控制难度较高,主要针对特定品牌、型号的汽车以及利用特定的漏洞;攻击者的目的是获取更多的回报,而不是故意进行人身财产的破坏。
-
攻击互联网
现代车联网已经拥有了与现代计算机网络相同的概念,拥有计算机,局域网和广域网,以及服务器等,由于移动网络的不断发展,攻击者也将目标转移到移动互联网以及车联网。攻击者可以通过车载计算机系统发起恶意的网络攻击活动。
威胁:利用车载网络发起恶意网络活动
概率:低
影响:攻击者不太可能在不被发现的情况下控制汽车,车辆会被调查,影响品牌声誉;在不知情的情况下,车主可能被指控和恶意网络活动有关。
-
敲诈勒索
到目前为止,勒索主要针对的是个人用户以及公司,受害者需要通过支付赎金解密计算机中的文件。如果备份不足,支付赎金可能成为数据恢复的唯一方法。如果将勒索软件部署到车载系统中,合理的推荐,个人消费者或者企业可能会支付赎金,重新获得对汽车的控制权。
威胁:利用恶意软件控制ECU,使驾驶人员无法操作。
概率:低
影响:重新获得控制权的代价会比较高;影响品牌形象
-
制造假象
隐藏相关的指标,存在潜在的风险。
威胁:通过控制输出显示,改变车辆的运行状态或者隐藏车辆故障
概率:中
影响:危害交通安全和驾乘人员安全;获取个人习惯,增加财产损失几率;驾驶人员在不知情的情况下违反相关交通规则,影响个人信誉;制造商可能会因为技术缺陷承担法律责任。