Global Sources
電子工程專輯
 
電子工程專輯 > 網路技術
 
 
網路技術  

駭客入侵必成未來汽車隱患?

上網時間: 2015年07月31日     打印版  Bookmark and Share  字型大小:  

關鍵字:駭客  連網汽車  安全  ECU  DPI 

從概念上來看,我們知道駭客入侵也可能發生在汽車上。但一直到上週,《連線》(Wired)雜誌資深記者Andy Greenberg聯手駭客專家Charlie Miller與Chris Valasek實際展示遠端入侵並控制一輛吉普車Jeep Cherokee後,真的讓我們看到駭客入侵連網汽車成為現實。

這一次被駭入的還不只是娛樂系統。Miller和Valasek控制了這輛吉普車的加速器、剎車系統以及傳動系統。他們讓這輛SUV在綿延的車陣中停了下來,隨後又該它掉進一條水溝中。儘管這只是一次受控實驗——駕駛人Andy Greenberg預先知道即將發生的事,但它就真實地發生在聖路易(St. Louis)市中心的道路上。

幸運的是,並沒重大意外發生。他們在事後諮詢了克萊斯勒汽車公司(Fiat Chrysler Automotive;FCA)。當成功駭入Jeep Cherokee的消息傳出後,這家汽車製造商緊急召回了140萬輛汽車。

Charlie Miller與Chris Valasek
Charlie Miller(左)與Chris Valasek(右)
(來源:extremetech.com

FCA在聲明中表示,Miller和Valasek發現可駭入汽車的漏洞,主要是利用了Chrysler的8.4吋觸控螢幕以及Uconnect服務。因此,包括Dodge Viper、Ram truck、Jeep Cherokee、Jeep Grand Cherokee、Dodge Durango、Chrysler 200、Chrysler 300、Dodge Charger與Dodge Challenger等車款都將擴大召回。

長久以來,網路安全專家一直警告著這一天的來臨。兩年前,一輛汽車被駭入就是經由連接至娛樂系統。但它畢竟還是採用硬線連接(hard-wired)。這一次,Miller和Valasek的攻擊則是在遠端透過無線連接的方式。「《Wired》雜誌的文章並不是第一起汽車遭駭客網路攻擊的報導。今年稍早電視新聞專題《60 Minutes》也播出駭客經由遠端存取而控制汽車的影片,」嵌入式與物聯網(IoT)安全解決方案供應商Icon Labs總裁兼創辦人Alan Grau表示。

Grau說:「毫無疑問地,當今的汽車仍存在安全漏洞。它可能帶來多大的風險,一直備受爭議。有些人認為儘管充斥著恐懼、不確定與懷疑(FUD)等威脅,但風險很低。畢竟,風險不可能量化,但目前已經明顯出現漏洞了。」

難以破解,但易於複製

FCA資深副總裁Gualberto Ranieri指出,駭入汽車並不是一件簡單的事。「它需要兩名安全研究人員…經過數月的推敲以及控制SUV的特定系統。而且,他們都是箇中高手。」

駭入Jeep Cherokee需要複雜的技能,它意味著像這樣的攻擊情況十分罕見,不過,這種複雜度卻很可能輕易地流傳開來。「認為低風險的一種看法是這些攻擊需要具備強大的技術能力。雖然這種看法沒錯,但一旦有人發現入侵方法後就可能發佈在網路上,讓其他人也複製這種攻擊方式,」Grau說:「無論是汽車電子控制單元(ECU)、工廠自動化系統或消費裝置等嵌入式裝置,都能夠大量生產,而且可以說全部都是相同的。一旦有人發現了漏洞並建立攻擊管道後,就可能被複製在成千上萬的裝置上。」

Charlie Miller與Chris Valasek
受安全缺陷影響的召回汽車包括Dodge Viper、Ram truck、Jeep Cherokee、Jeep Grand Cherokee、Dodge Durango、Chrysler 200、Chrysler 300、Dodge Charger以及Dodge Challenger(如圖)等
(來源:Fiat Chrysler

防止汽車遭受駭客攻擊

FCA表示,該公司已經準備好一款軟體增補程式,將會透過USB隨身碟發送給140萬部召回汽車的車主。該公司並與美國高速公路交通安全管理局(NHTSA)合作,針對此次召回事件提出「迅速且有力的因應對策」。

Jeep Cherokee事件的可怕部份在於駭客能夠透過娛樂系統進行汽車的功能控制。解決方法之一可能是必須在各種功能之間建立起隔離的防火牆。「Miller和Valasek利用了這個漏洞,讓他們得以遠端連接至汽車,並發送指令至汽車。因此,娛樂系統的連網元件應該與控制汽車的元件完全隔離開來,」Tripwire資深安全分析師Ken Westin強調。

Westin補充說:「Chrysler已經為這個漏洞發佈一款增補程式了,但他們要做的事還不只是這樣,因為這仍然屬於安全研究的新領域。由於Miller和Valasek的發現,他們現在已經開始與Chrysler共同研究修補這一安全漏洞的辦法了。此外,它也突顯出汽車製造商與安全研究人員在這一領域合作的重要性。」

為汽車打造完整的安全性

汽車的娛樂系統通常是專為與外在世界互動而打造的;因此,在汽車的娛樂系統與控制功能之間築起一道防火牆,可望成為新一代汽車的開發標準。「適當地配置防火牆,讓它只能對外連線或僅連接至已知安全的主機,可能是杜絕像汽車這樣的連網系統遭受攻擊的辦法之一,」Belden嵌入式軟體開發經理Tobias Heer表示。

「針對連網範圍加以限制以及只允許安全的連結,可作為一個好的起點。此外,應用與特定協議的深層封包檢測(DPI)能夠阻斷這一類的攻擊。再者,僅允許已知善意的通訊原則,有助於排除非預期的惡意傳播,」Heer說。

駭入Jeep Cherokee的事件也活生生地暴露出IoT消費裝置的漏洞。「惠普實驗室(HP Labs)發佈的報告指出,全球約有70%的新款IoT裝置至少存在一種安全漏洞,」Grau說,因此,「在汽車OEM開始投入安全性以前,這一類的入侵事件將不斷地成為頭條新聞。」

編譯:Susan Hong

(參考原文:What Can Be Done About Car Hacking, or Is This the Future of Autos?,by Rob Spiegel、Charles Murray)





投票數:   加入我的最愛
我來評論 - 駭客入侵必成未來汽車隱患?
評論:  
*  您還能輸入[0]個字
*驗證碼:
 
論壇熱門主題 熱門下載
 •   將邁入40歲的你...存款多少了  •  深入電容觸控技術就從這個問題開始
 •  我有一個數位電源的專利...  •  磷酸鋰鐵電池一問
 •   關於設備商公司的工程師(廠商)薪資前景  •  計算諧振轉換器的同步整流MOSFET功耗損失
 •   Touch sensor & MEMS controller  •  針對智慧電表PLC通訊應用的線路驅動器
 •   下週 深圳 llC 2012 關於PCB免費工具的研討會  •  邏輯閘的應用


EE人生人氣排行
 
返回頁首