汽車也能被黑 物聯(lián)網(wǎng)看上去很危險(xiǎn)

責(zé)任編輯:王李通

作者:皓慧

2015-08-05 09:00:34

摘自:網(wǎng)易科技報(bào)道

波士頓和其它的城市在部署安裝聯(lián)網(wǎng)的停車計(jì)時(shí)器,以引導(dǎo)車主前往空置的停車位。斯里尼瓦桑指出,許多物聯(lián)網(wǎng)設(shè)備所使用的廉價(jià)芯片缺少內(nèi)置的安全功能,如可降低被攻擊風(fēng)險(xiǎn)的硬連線加密功能。

汽車也能被黑 物聯(lián)網(wǎng)看上去很危險(xiǎn)

兩位黑客在成功侵入一輛Jeep Cherokee后,導(dǎo)航屏幕顯示他們的漫畫頭像

 8月5日消息,據(jù)國外媒體報(bào)道,上個(gè)月末的汽車被黑實(shí)驗(yàn)揭露了聯(lián)網(wǎng)汽車安全網(wǎng)絡(luò)的脆弱性,同時(shí)也發(fā)出了物聯(lián)網(wǎng)世界或許很危險(xiǎn)的警示。

處于“物聯(lián)網(wǎng)”開發(fā)前沿的波士頓公司LogMeIn副總裁帕迪·斯里尼瓦桑(Paddy Srinivasan)說道,“我想現(xiàn)在是開創(chuàng)性時(shí)期,這些新設(shè)備需要全新的處理方式以及新的安全思考方式,這是當(dāng)下缺失的一塊。”

7月末,在一次汽車黑客實(shí)驗(yàn)中,兩位網(wǎng)絡(luò)工程師查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)利用一臺聯(lián)網(wǎng)電腦控制了在圣路易斯高速公路行駛的一輛克萊斯勒J(rèn)eep Cherokee汽車。當(dāng)時(shí),作為駕駛者的《連線》雜志記者束手無策,米勒和瓦拉塞克打開了車子的雨刮器,將音響和空調(diào)調(diào)到最大,并終止了車子的傳動(dòng)裝置運(yùn)作,使得它無法駕駛——而這一切操控全都在米勒10英里以外的地下室完成。

幾天內(nèi),克萊斯勒母公司FCA US LLC召回了140萬輛存在同樣的被黑隱患的車輛。

之后,計(jì)算機(jī)安全研究人員薩米·卡姆卡爾(Samy Kamkar)透露稱,他曾經(jīng)入侵很多通用汽車車型采用的OnStar通訊系統(tǒng)。通過給車子附上一個(gè)小型的WiFi接收器,他可以遠(yuǎn)程獲知車子的位置,打開它的車門,或者啟動(dòng)其引擎。通用汽車稱它已經(jīng)發(fā)布該問題的補(bǔ)丁。

美國汽車制造商聯(lián)盟發(fā)言人韋德·紐頓(Wade Newton)指出,“網(wǎng)絡(luò)安全絕對是汽車廠商的重中之重。”他還說,該聯(lián)盟正制定一個(gè)新的項(xiàng)目,來實(shí)現(xiàn)數(shù)字安全威脅的信息共享和分析。

然而,塔夫斯大學(xué)計(jì)算機(jī)科學(xué)教授凱思琳·費(fèi)舍爾(Kathleen Fisher)警告稱,從內(nèi)在結(jié)構(gòu)來看,汽車的計(jì)算機(jī)網(wǎng)絡(luò)很脆弱,難以確保安全。幾乎所有的汽車都是使用名為“控制器局域網(wǎng)絡(luò)總線”( CAN bus)的網(wǎng)絡(luò)技術(shù),該技術(shù)的開發(fā)商是德國汽車零部件廠商博世。“CAN總線技術(shù)很不安全。”費(fèi)舍爾說道。它開發(fā)于汽車還遠(yuǎn)未接入互聯(lián)網(wǎng)的數(shù)十年前,它缺少阻止惡意程序和拒絕來自非法入侵者的指令的功能。

費(fèi)舍爾指出,開發(fā)出更加安全的汽車網(wǎng)絡(luò)系統(tǒng)需要數(shù)年時(shí)間和大量的資金,競爭對手不去開發(fā)的話,沒有公司會(huì)去開發(fā)。

她支持美國參議員愛德華·馬基(Edward J. Markey)最近提出的法規(guī),該法規(guī)關(guān)于對所有在美出售的汽車設(shè)定數(shù)據(jù)安全和隱私標(biāo)準(zhǔn)。

物聯(lián)網(wǎng)隱患

Jeep被黑的確讓人毛骨悚然,但事實(shí)上,很多其它的聯(lián)網(wǎng)設(shè)備同樣存在著被入侵的隱患。很多人都在使用聯(lián)網(wǎng)的恒溫器、可遠(yuǎn)程打開的門鎖或者可將實(shí)時(shí)畫面?zhèn)魉偷轿葜魇謾C(jī)的安全攝像頭。

波士頓和其它的城市在部署安裝聯(lián)網(wǎng)的停車計(jì)時(shí)器,以引導(dǎo)車主前往空置的停車位。

任何的這些設(shè)備以及諸多其它的聯(lián)網(wǎng)設(shè)備都有可能會(huì)成為網(wǎng)絡(luò)破壞者或不法分子的入侵目標(biāo)。

斯里尼瓦桑指出,許多物聯(lián)網(wǎng)設(shè)備所使用的廉價(jià)芯片缺少內(nèi)置的安全功能,如可降低被攻擊風(fēng)險(xiǎn)的硬連線加密功能。因此,這些系統(tǒng)只能依靠軟件來保障,一旦被入侵者注入不正當(dāng)?shù)拇a,都有可能出現(xiàn)嚴(yán)重問題。

“如果你能夠?qū)ν\囉?jì)時(shí)器實(shí)施逆向工程,你可以注入虛假數(shù)據(jù),從而使得城市中的每一個(gè)人都相信當(dāng)下一個(gè)閑置的停車位都沒有。”斯里尼瓦桑舉例說道。

LogMeIn的物聯(lián)網(wǎng)系統(tǒng)Xively尋求通過無視所有進(jìn)來的信息來防止這類攻擊。Xively芯片僅通過定期檢查特定的網(wǎng)絡(luò)地址來獲得指令。此外,每一個(gè)指令都必須要包含證明來自特許源的加密數(shù)字簽名。

但目前還不清楚Xively是否真如LogMeIn所宣稱的那么靠譜。很多其它的物聯(lián)網(wǎng)系統(tǒng)也才剛剛開始進(jìn)行大范圍部署。跟被黑的Jeep一樣,也許要讓知名的黑客出手才能知道它們是否容易受到攻擊。

類似的情況曾發(fā)生在微軟的Windows操作系統(tǒng)上,該公司當(dāng)初在開發(fā)該系統(tǒng)時(shí)并沒有考慮到網(wǎng)絡(luò)安全性。21世紀(jì)初,一系列的網(wǎng)絡(luò)惡意程序(如SQL Slammer、Blaster和Code Red)感染了全球數(shù)百萬部Windows電腦。那些攻擊對微軟的聲譽(yù)和業(yè)績構(gòu)成了不小的威脅。因此,2012年,微軟決定停止Windows的所有新功能研發(fā)工作,花費(fèi)兩個(gè)月時(shí)間修復(fù)安全漏洞,并訓(xùn)練其軟件工程師編寫更加安全的代碼。它的努力收到了回報(bào);雖然還不算完美,但后續(xù)的新Windows版本比以往的要難攻擊得多。

在數(shù)字安全公司RSA技術(shù)解決方案總監(jiān)羅伯·薩多夫斯基(Rob Sadowski)看來,要是也有這樣的危機(jī)意識,物聯(lián)網(wǎng)開發(fā)者最終也會(huì)獲益。“我想我們非常需要像那樣的戰(zhàn)斗。”他說道,“很多開發(fā)者可能都是先想到功能開發(fā),然后才想到安全問題……我們迫切需要做的是,給予開發(fā)者和用戶潛在風(fēng)險(xiǎn)方面的教育。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號