现在汽车的车机系统越来越智能化,特别是一些造车新势力走出了一条颠覆性的道路,汽车已经变为一台IT终端。
凡事有利也有弊,智能化带给消费者便利的同时,也存在着巨大的安全漏洞,比如最近炒的沸沸扬扬的特斯拉事件。
比利时鲁汶大学的在线安全研究员LennartWouters在2019年8月发现了两个与特斯拉ModelX有关的漏洞。他还发布了一段视频,展示了他发现的安全漏洞,可让黑客在几分钟之内就可以窃取ModelX。
第一个漏洞是通过挡风玻璃上的最后五个VIN数字就可以为ModelX创建密钥。仅需花费约300美元的硬件,一个背包,并站在车主附近约90秒钟即可完成其余工作。硬件是可以从eBay购买的RaspberryPi小型计算机和ModelX车身控制模块(BCM)。
当车主距离15英尺(约4.5米)远时,BCM使Wouters能够劫持密钥卡用来解锁车辆的蓝牙无线电连接。接下来,硬件将重写目标密钥卡的固件。这使得Wouters可以访问解锁车辆的代码。然后,他将该代码存储在装有微型计算机的背包中,然后走近ModelX。汽车立即解锁,ModelX以为它与原始的密钥卡相连,而不是复制的密钥卡。
进入车内后,第二个漏洞就被暴露出来——启动车辆。Wouters访问了位于显示屏下方面板后面的USB端口,然后将他的计算机连接到车辆控制器局域网(CAN),ModelX可以启动并驶离。
Wouters真正暴露出来的漏洞核心是,即使BCM和密钥卡相互连接,也无法验证密钥卡的固件更新,这使他可以假装从特斯拉发送新的固件更新来获得访问权限。
Wouters说:“特斯拉系统拥有安全所需的一切,然而有一些小错误却让整个系统变得脆弱。”幸运的是:他立即通知了汽车制造商,现在通过无线更新的软件补丁就可以弥补这个漏洞。
如若转载,请注明出处:https://www.ozabc.com/keji/157049.html